El perito informático frente a la propiedad intelectual del software

La propiedad intelectual del software es un asunto controvertido. La propiedad intelectual de los programas informáticos o software, se rigen, en España, como cualquier otra obra susceptible de ser catalogada como intelectual, bajo la Ley de Propiedad Intelectual, siendo que esta ley incluye, en su texto, la Ley 16/1993, de 23 de diciembre, de incorporación de la Directiva 91/250/CEE, de 14 de mayo, sobre la protección jurídica de programas de ordenador. Así pues, en primer lugar, lo que se hace necesario es determinar qué es un programa de ordenador.

Un programa de ordenador, según el artículo 96.1, correspondiente al Título VII de la Ley de Propiedad Intelectual, es “toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación”.

Asimismo, el mismo artículo indica, en el siguiente párrafo que, “a los mismos efectos, la expresión programas de ordenador comprenderá también su documentación preparatoria. La documentación técnica y los manuales de uso de un programa gozarán de la misma protección que este Título dispensa a los programas de ordenador”. Por tanto, un programa de ordenador no sólo comprende las instrucciones o código fuente del mismo, sino también y, no menos importante, la documentación asociada a éste.

 

Así las cosas, en varias ocasiones, un perito informático es requerido para la realización de un informe pericial informático que dictamine si la autoría de la propiedad intelectual de un determinado sistema informático, le corresponde a una determinada persona física o jurídica o no. El perito informático, en este caso, deberá analizar, en primer lugar, la relación existente entre el demandante de la autoría de la propiedad intelectual y el demando, pudiendo ser dicha relación laboral o comercial. Asimismo, el perito informático tendrá que determinar, mediante investigación técnica, qué personas físicas crearon realmente el software, puesto que, aquellas personas que reclaman la autoría de un desarrollo informático, no siempre son realmente los que desarrollaron el sistema.

En el caso de tratarse de una relación laboral, la autoría de la propiedad intelectual siempre corresponderá a la empresa desarrolladora, salvo pacto contractual en contrario, mientras que la autoría moral corresponderá siempre al desarrollador o desarrolladores del sistema. Si la relación es comercial, la autoría de la propiedad intelectual siempre recaerá sobre la empresa desarrolladora, salvo especificación de lo contrario en el contrato. Por tanto, a esta empresa le corresponderán, en principio, los derechos de explotación del programa, es decir, los derechos de reproducción, comunicación pública, transformación y distribución.

A tales efectos, cuando se produzca la cesión del derecho de uso de un programa de ordenador y, salvo especificación de lo contrario en el contrato, se entenderá que dicha cesión no es exclusiva, asumiendo simplemente que ésta se produce para satisfacer las necesidades del usuario. Por otra parte, dadas las peculiaridades de un sistema informático, existen en la Ley de Propiedad Intelectual una serie de disposiciones aplicables únicamente a éstos, recogidas en el artículo 100 de la mencionada ley, que se resumen en las siguientes:

a) La primera, se refiere a la no necesidad de autorización al cesionario, salvo acuerdo contractual en contrario, por parte del titular de los derechos de propiedad intelectual, es decir, de la empresa desarrolladora, a modificar el programa, siempre y cuando dicha modificación se lleve a cabo para corregir determinados errores o que esta modificación sea necesaria para la utilización del programa por parte del usuario legítimo (el cesionario), con arreglo a la finalidad propuesta. La STS 492/2003, de 17 de mayo, confirmó este artículo de la ley, haciendo prevalecer el derecho del cesionario a la modificación del programa para la corrección de errores, sobre el derecho de propiedad intelectual de la empresa desarrolladora.
b) La segunda, se refiere a que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, no necesitará otorgar autorización al cesionario para que éste realice versiones sucesivas del programa.
c) Por último, la tercera, indica que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, tampoco necesitará otorgar autorización para que el cesionario realice los cambios oportunos en el programa al objeto permitir la interoperabilidad del mismo con otros programas.

La Ley de Propiedad Intelectual no distingue, en ningún momento, la regulación de los programas desarrollados a medida respecto de los programas estándar o paquetes de software, por lo que estos planteamientos permitirían, en principio, la posible utilización de programas de ingeniería inversa, capaces de reconvertir el código objeto, ejecutable directamente por un ordenador, a código fuente, legible y modificable por un programador, de cualquiera de estos paquetes, siempre dentro del marco de la corrección de errores, el arreglo a la finalidad propuesta y el hecho de que no existiese un acuerdo contractual en contrario. La realidad, sin embargo, es que la mayoría de los contratos de uso, conocidos como EULAs (End User License Agreement) o, en castellano, CLUFs (Contrato de Licencia para el Usuario Final), de los paquetes de software de pago más importantes del mercado, disponen que el usuario no podrá modificar, bajo ningún concepto, los programas informáticos que han sido adquiridos bajo licencia de uso.

 

Con respecto a los desarrollos de software a medida y, salvo disposición contractual en contrario, la entrega del código fuente al cesionario no significa la transmisión de los derechos de propiedad intelectual sobre el programa desarrollado, sino únicamente los derechos de uso del mismo.

Por otra parte, la empresa desarrolladora puede, en calidad de depositaria de los derechos de propiedad intelectual del software (siempre que el contrato no indique la contrario), tomar medidas para evitar la distribución no autorizada del mismo. Asimismo, la empresa contratante también puede protegerse de la quiebra de la empresa desarrolladora y, por tanto, de la dificultad o imposibilidad de acceder a los fuentes para, como la ley y la jurisprudencia le asisten, poder modificarlos en caso de que se presente la necesidad de corregir errores, de evolucionar el programa o de permitir la interoperabilidad del programa con otros programas. Este tipo de medidas de protección, que pueden tomar tanto la empresa desarrolladora, como la contratante, se recogen en los mencionados contratos de escrow, siendo el escrow una modalidad contractual anglosajona, en la que las partes se sirven de un tercero independiente (third party), en el cual ambos confían, para garantizar el cumplimiento de las obligaciones de la otra parte.

La característica más importante del contrato de escrow, aplicado al desarrollo de software, es el depósito del código fuente ante dicho tercero independiente. En España, el depósito de dichos fuentes se realiza, normalmente, ante notario, en calidad de fedatario público, figura que es completamente distinta al notary del sistema anglosajón (common law). El notario que, al tratarse de una modalidad de contrato de desarrollo de software, es conveniente que también se apoye en un perito informático colegiado, como asesor tecnológico independiente, desarrollará las cláusulas del contrato de escrow según la voluntad de las partes y lo hará firmar a ambas, en presencia, si se estima oportuno, del perito informático, que habrá supervisado el contenido puramente técnico del contrato, asesorando a la parte que le hubiere contratado o, a ambas, de forma absolutamente independiente, si le hubieren contratado las dos partes.

 

En el caso de que las partes no hayan pactado ninguna cláusula al respecto en el contrato de desarrollo a medida, se considera que la propiedad intelectual del software desarrollado corresponde a la empresa desarrolladora pero, tal y como se ha indicado, le Ley de Propiedad Intelectual y la jurisprudencia del Tribunal Supremo, autorizan a la contratante a modificar el código fuente, dentro de lo razonable y siempre que sea necesario para el correcto funcionamiento del programa, sin necesitar la autorización del titular de los derechos de propiedad intelectual.

Las partes pueden pactar en el contrato, además, un acuerdo de licencia de uso con carácter indefinido, o una propiedad intelectual compartida del software desarrollado, de tal forma que una de las empresas, la que se pacte, tenga la potestad de comercializar el software, teniendo la otra parte derecho a recibir un canon o contraprestación por dicha comercialización. Evidentemente, para la empresa contratante, lo más interesante será siempre la transmisión de los derechos de propiedad intelectual por parte de la empresa desarrolladora.

Asimismo, respecto de los derechos de explotación, a lo sumo, sería posible una cesión en exclusiva e ilimitada en el tiempo, cuestión que, de acuerdo con la Ley de Propiedad Intelectual, deberá pactarse expresamente en el contrato porque, de lo contrario, se entenderá que la cesión es de carácter no exclusivo, lo que implicará que la empresa desarrolladora podría distribuir el programa a otros clientes. Así pues, en principio y, de acuerdo con la Ley de Propiedad Intelectual, se presume que el desarrollador licencia el uso del programa desarrollado, salvo que se pacte expresamente la transmisión de la propiedad intelectual.

La realidad del mercado establece que, lo más habitual, es pactar la exclusividad en el desarrollo, de tal forma que la empresa desarrolladora no podría, bajo ningún concepto, comercializar a otras empresas el programa desarrollado, teniendo en cuenta, sobre todo, que muchas de estas potenciales empresas serías competidoras de la contratante. Es necesario tener en cuenta en este caso que, la contratante, estaría prestando sus ideas y financiando el desarrollo del software, de tal forma que, si no se pacta la referida exclusividad, éste podría ser vendido posteriormente a empresas que, seguramente, serían potenciales competidores de la misma.

La diferencia entre los contratos de tipo EULA o de adhesión, ya mencionados anteriormente y, un desarrollo a medida, es que en el primer caso, el comprador no tiene más remedio que aceptar las condiciones de la empresa desarrolladora o distribuidora y, en el segundo caso, las partes negocian. Es más, es altamente recomendable que negocien, ya que es importantísimo determinar, en el contrato, si se cede el código fuente y si la contratante tendrá el derecho a modificar el programa sin el permiso de la desarrolladora, quedando estas cuestiones por defecto absolutamente de parte de la contratante. Es decir, si no se especifica ninguna cláusula aludiendo a esta cuestión en el contrato, la ley y la jurisprudencia autorizan a la contratante, sin contar con la autorización de la desarrolladora y, tal y como se ha venido indicando en el presente artículo, a modificar el software, bien para corregir errores, bien para evolucionarlo o bien para conseguir su interoperabilidad con otros programas.

 

El matiz principal entre la Ley de Propiedad Intelectual y la STS 492/2003, de 17 de mayo, es que antes de la sentencia, se daba por hecho que, si no se había especificado ninguna cláusula contraria en el contrato, la empresa desarrolladora conservaba los derechos de explotación, cediéndose únicamente a la contratante, los derechos de uso de manera no exclusiva, es decir, supeditándolo todo a lo negociado en el contrato. Sin embargo, a partir de la mencionada sentencia, se entiende que, por defecto, es decir, si no se especifica ninguna cláusula contraria en el contrato, la contratante tiene todo el derecho a poder modificar el software, sin autorización de la desarrolladora, con arreglo a continuar utilizándolo al objeto de cumplir con la finalidad para la que fue concebida el mismo.

Por tanto, se entiende que, salvo disposición contractual en contrario, la ley y la jurisprudencia asisten a la empresa contratante en el hecho de que, la empresa desarrolladora, deberá cederle el código fuente a la primera, al objeto de que ésta pueda modificar el software de acuerdo a las necesidades de utilización del mismo con arreglo a la ya mencionada finalidad propuesta.

Como conclusión, se extrae que la redacción del contrato es parte fundamental en el desarrollo a medida de un sistema informático, puesto que absolutamente cualquier vicisitud o eventualidad posterior se someterá al mismo, razón por la cual es imprescindible contar, por ambas partes, con la asesoría legal y técnica más especializada, es decir, con un abogado especialista en propiedad intelectual y con un perito informático colegiado, que actúe como asesor técnico independiente.

Estándares nacionales e internacionales que puede seguir un perito informático para realizar el análisis forense de una evidencia y para la elaboración de un peritaje informático

Cuando un perito informático enfrenta la realización de un peritaje informático, es interesante que pueda seguir ciertas guías o pautas que le permitan, por un lado, recolectar, preservar y analizar una evidencia informática adecuadamente y, por otro, presentar un informe pericial informático más claro. Existen numerosos estándares nacionales e internacionales en el ámbito de la recolección, preservación y análisis de evidencias informáticas y, desde hace relativamente poco tiempo, un estándar nacional en el ámbito de la elaboración de un peritaje informático. Pese a la falta de regulación profesional a nivel nacional, tanto de la Ingeniería en Informática como de la Ingeniería Técnica en Informática, estos estándares nacionales e internacionales permiten al perito informático disponer de una serie de guías que, si bien no es obligatorio cumplir, siempre serán de ayuda para una mejor práctica forense y elaboración de un peritaje informático.

Existe numerosa bibliografía en Internet para realizar un pequeño resumen de las normas más importantes del ámbito forense, en la que el profesional que suscribe se ha apoyado para escribir el presente artículo, como el Trabajo de Fin de Grado de Ingeniería Informática de Don Juan Miguel Tocados Cano. Así, el conjunto de los estándares más importantes, tanto nacionales, como internacionales, que el perito informático tiene a su disposición para analizar y preservar una evidencia informática, así como para realizar un informe pericial informático, se detalla a continuación.

 

Estándares a nivel nacional

 

UNE 197010:2015

A nivel nacional, la norma UNE 197010:2015, de “Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)”, define la forma en que debe redactarse un informe pericial informático. Esta norma está basada en la norma UNE 197001:2011, de “Criterios generales para la elaboración de informes y dictámenes periciales”, siendo ésta una norma de carácter genérico para la realización de informes periciales de cualquier disciplina, tomada como base para elaborar la ya mencionada norma UNE 197010:2015.

La citada norma, publicada por AENOR, especifica los criterios que deben seguirse para la realización de informes periciales informáticos. Así, la norma UNE 197010:2015 define principalmente la tipología del documento del informe pericial, sin entrar a valorar ni el aseguramiento de la escena, ni la recolección, ni la preservación, ni el análisis de las evidencias.

 

UNE 71505:2013

También a nivel nacional, la norma UNE 71505:2013, publicada por AENOR, tiene como objetivos los que se enumeran a continuación:

  • Descripción y definición de los conceptos de seguridad relativos a la gestión de evidencias informáticas.
  • Identificación de las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Especificación de los controles de seguridad que deben aplicarse a la gestión de evidencias informáticas
  • Descripción de los formatos de intercambio de las evidencias informáticas y de los mecanismos técnicos aplicables para el mantenimiento de la confiabilidad de las mismas.

Según establece la norma, los atributos que debe cumplir cualquier evidencia informática para ser considerada confiable, son los siguientes:

  • Autenticación e integridad
  • Disponibilidad y completitud
  • Cumplimiento y gestión

Asimismo, según la norma, el ciclo de vida de la evidencia informática comprende los siguientes procesos:

  • Generación
  • Almacenamiento
  • Transmisión
  • Recuperación (extracción y exportación)
  • Tratamiento (consolidación, agregación, correlación)
  • Comunicación de las evidencias informáticas.

Los procesos del Sistema de Gestión de Evidencias Electrónicas que se describen en esta norma, invitan a los usuarios a prestar atención a la importancia de:

  • La comprensión de los requisitos de seguridad de la información de una organización, en relación con las evidencias informáticas, así como la necesidad de establecer una política de seguridad para dichas evidencias y sus objetivos.
  • La implantación y la operación de los controles para administrar los riesgos de seguridad de la información de una organización, en el marco de los riesgos de negocio generales, en relación con las evidencias informáticas.
  • La supervisión y la revisión del rendimiento y la eficacia del Sistema de Gestión de las Evidencias Electrónicas.
  • El aseguramiento de la mejora continua sobre la base de la medición objetiva.
  • La comprensión y la decisión, así como el establecimiento e implementación, o no, de su integración en un Sistema de Gestión de la Seguridad de la Información.

La norma UNE 71505:2013 se divide, a su vez, en tres normas, que se detallan a continuación.

 

UNE 71505:2013-1: Vocabulario y principios generales

En esta primera parte se pueden consultar diversos términos y definiciones generales que son comunes a toda la norma, es decir, tanto a ésta como a las dos partes restantes. También se da una visión general del proceso de gestión y de la relación entre las partes. Esto se consigue dando, en primer lugar, una descripción de términos y definiciones, seguido de una descripción a alto nivel del proceso y de las tareas relacionadas con la gestión de evidencias informáticas y, finalmente, una pequeña descripción de las dos partes restantes que forman esta norma.

Entrando en las generalidades de la administración de evidencias informáticas, se puede observar que la norma adopta un enfoque por procesos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora del SGEE de la organización. Dentro de este enfoque, se debe destacar la importancia de la comprensión de los requisitos de seguridad de la información de la organización y la necesidad de implantar una política de seguridad de las evidencias informáticas, junto con sus objetivos. También será importante implantar controles para administrar los riesgos de seguridad de la información, a la vez que se supervisan el rendimiento y la eficacia del SGEE.

Por último, se decidirá si se va a integrar, o no, dicho SGEE en un SGSI.

 

UNE 71505:2013-2: Buenas prácticas en la gestión de las evidencias electrónicas

En esta parte de la norma se establecen los controles y procesos que deben aplicarse a la gestión de seguridad de las evidencias informáticas y su integración en el ciclo PHVA (que será explicado más adelante), de gestión de la seguridad de la información de la organización. Se ha de tener en cuenta, en primera instancia, la confiabilidad, es decir, maximizar la veracidad y la exactitud de las evidencias informáticas que se posean, basándose en sistemas, procesos y procedimientos confiables. Para esto se deberán cumplir varias premisas:

  • En primer lugar, se deben asegurar la autenticación y la integridad, que garantizarán que la información no ha sido alterada. Se podría decir que una evidencia informática auténtica es aquella que es lo que afirma ser y que ha sido creada, almacenada y/o enviada en el momento en que se afirma, por la persona que afirma haberla creado, almacenado y/o enviado. Por otra parte, la integridad se refiere a la no alteración de la evidencia informática, que es necesario proteger contra modificaciones no autorizadas.
  • Seguidamente, deben asegurarse la disponibilidad y la completitud. La disponibilidad consiste en la cualidad que permite que una evidencia informática pueda ser localizada, recuperada, presentada e interpretada; mientras que la completitud referencia la representación completa de la información que contiene la evidencia. Asegurando estas dos cualidades, se garantizará el acceso y la utilización a la evidencia en los tiempos requeridos.
  • Finalmente, para asegurar la confiabilidad de una evidencia, deberán cumplirse también los atributos de cumplimiento y gestión, que garantizarán que la evidencia que se ha obtenido se ciñe a lo esperado después de haberse gestionado y habiéndose utilizado los procedimientos que se planificaron previamente.

Para alcanzar la confiabilidad se deberá disponer de un SGEE cuyas generalidades ya fueron expuestas en la primera parte de esta norma. La gestión de las evidencias informáticas de una organización incluye:

  • Establecimiento de políticas, estrategias, controles y procedimientos
  • Asignación de responsabilidades y competencias
  • Integración de la gestión de las evidencias informáticas en los sistemas y en los procesos que dan soporte a la organización

La gestión de las evidencias proporciona una serie de beneficios, debido a que el SGEE puede servir de ayuda en actividades posteriores o en una futura toma de decisiones.

Por otra parte, en esta norma se sigue el ciclo de mejora continua PHVA (Planificar, Hacer, Verificar y Actuar), como se describe a continuación:

  • Planificar (establecimiento del SGEE): establecer la política del SGEE, los objetivos, los procesos y procedimientos correspondientes  a  la  gestión  de  riesgos  y  a  la  mejora  de la confiabilidad de las evidencias informáticas, al objeto de proporcionar unos resultados de acuerdo a los objetivos y políticas globales de la organización
  • Hacer (implantación y puesta en marcha del SGEE): implantar y poner en marcha la política, controles, procesos y procedimientos del SGEE
  • Verificar (control y revisión del SGEE): evaluar y, cuando aplique, medir el comportamiento de los procesos de acuerdo a la política del SGEE, a los objetivos y a la experiencia práctica, así como informar de los resultados a la dirección para su revisión
  • Actuar (mantenimiento y mejora del SGEE): tomar medidas correctivas y preventivas, basadas en los resultados de la auditoría interna del SGEE y de la revisión por la dirección, o de otra información importante, para conseguir la mejora continua del SGEE

Como ya se advirtió, se adopta un enfoque por procesos para el SGEE y esto requerirá que las organizaciones comprendan los requisitos y la necesidad de establecer una política y unos objetivos para gestionar correctamente las evidencias informáticas, diseñando e implantando controles adecuados para la gestión de los riesgos globales del negocio en relación con las evidencias. Las organizaciones también deberán controlar y revisar la eficacia del SGEE adoptado y tratar mejorarlo continuamente.

El proceso de planificación consta de varias fases:

  • Definición del alcance y análisis de riesgos: el alcance del SGEE podrá ser global sobre la organización o bien sobre una parte de ésta. Una vez determinado el alcance, éste deberá contener los elementos sobre los que se requiere evidencia y aquéllas que forman parte del SGEE. Para dicho alcance, se deberá efectuar un análisis de riesgos orientado a la seguridad de la información y considerando los aspectos legales y operacionales relativos a las evidencias.
  • Identificación de recursos y planificación de procesos: una vez se hayan definido los objetivos, se deberá proceder con la identificación de los recursos, tanto humanos, como de infraestructura y financieros, para la gestión del sistema, junto a los roles y responsabilidades. Asimismo, se planificarán los procesos necesarios para implantar el SGEE, que se corresponderán con los objetivos obtenidos a partir del análisis de riesgos previo. A la hora de la implantación, se deben asignar claramente las funciones y responsabilidades a cada integrante del SGEE. Estas responsabilidades deberían asignarse asegurando una correcta separación de funciones.

Es importante también, documentar todos los procesos de gestión de seguridad de las evidencias informáticas. La documentación deberá detallar las actividades de la organización y las evidencias informáticas que le corresponden, especificando los periodos de conservación y qué acciones se tomarán para su eliminación, así como las instrucciones necesarias para transferir las evidencias a otros medios de almacenamiento sin perder la integridad o la confidencialidad de las mismas.

Se deberá tener en cuenta que el SGEE es tan solo una parte del sistema de gestión de la organización, existiendo otros sistemas como por ejemplo el SGSI. Ante la existencia de varios sistemas, será necesaria una correcta integración entre todos ellos, con fin de mejorar la eficiencia y la eficacia del sistema global de la organización.

Como punto final a esta parte de la norma, existen dos anexos en los que se describen una serie de buenas prácticas específicas para el SGEE, mencionando los controles a implantar y también una matriz de funciones ejecutables por cada uno de los roles del SGEE.

 

UNE 71505:2013-3: Formatos y mecanismos técnicos

En la última parte de la norma, se definen el formato de intercambio de las evidencias informáticas y de los mecanismos que ayudarán a mantener la confiabilidad de éstas, dentro del entorno de la organización, así como al intercambio de dichas evidencias entre organizaciones. La elección de un formato de intercambio normalizado garantizará la interoperabilidad entre diferentes organizaciones y la confiabilidad del contenido de las evidencias.

En cuanto a los mecanismos, normas y estándares de seguridad aplicados a la evidencia informática, tendrán como objetivo garantizar su autenticidad e integridad para mantener su valor probatorio ante un proceso judicial, de forma que un perito informático pueda analizar y verificar, tanto la autenticidad como la integridad de las evidencias. Entre estos mecanismos podemos citar la firma electrónica, cuya finalidad es probar la integridad y la identidad de la evidencia a la que está asociada. Tiene diferentes variantes, como CMS, XADES, CADES, PADES, etc. No obstante, carece de dos propiedades básicas, que son la fiabilidad de la fecha de creación y la robustez de los algoritmos criptográficos, a largo plazo, en los que  está  basada.  El sello  de  tiempo proporciona  a  la  firma electrónica la propiedad de no repudio, garantizando que la clave de la firma estaba vigente en el momento en que los datos fueron firmados.

Por otra parte, con la utilización de criptografía asimétrica, será más fácil garantizar la confidencialidad. Algunos algoritmos válidos son 2TDEA, 3TDEA, AES-128, 192 o 256. La elección del algoritmo a utilizar se deberá realizar en base al periodo de tiempo de validez que se prevé que tendrá la evidencia. Teniendo esto en cuenta, la organización establecerá una política de conservación a largo plazo. Llegando al formato de intercambio de las evidencias informáticas, se citará la estructura general, que se divide en tres campos diferentes:

  • Cabecera: contendrá datos que aportarán contexto al contenido, a la estructura y a las credenciales de seguridad de la evidencia informática, como el tamaño de la propia cabecera, el creador, el número de archivo, los archivos totales, etc.
  • Contenido: almacenará información principal de la evidencia informática.
  • Credenciales de seguridad: datos de identificación para la autenticación y validación de integridad de la evidencia informática, es decir, aquellos datos generados por los mecanismos de firma electrónica y sello de tiempo.

Finalmente, existen una serie de anexos con información adicional útil, como los algoritmos criptográficos válidos según la criticidad de la información y el periodo de tiempo previsible de validez, información sobre cuál es la fuente legal de tiempo en España, una relación de formatos de firma y sellos de tiempo admitidos, los requisitos para la reproducción e impresión de las evidencias informáticas, así como un pequeño ejemplo del formato de un fichero contenedor de la evidencia en XML.

 

UNE 71506:2013

Esta norma tiene como objetivo definir el proceso de análisis forense dentro del ciclo de gestión de evidencias informáticas, según se describe en la UNE 71505, complementándola. En ella se establece una metodología para la preservación, adquisición, documentación, análisis y presentación de las evidencias informáticas.

Se ofrecen, en primer lugar, una serie de términos, definiciones y abreviaturas que, junto a los proporcionados en la norma UNE 71505-1, serán de utilidad dentro del documento para el perito informático. A continuación, se habla en detalle de las diferentes fases del proceso de análisis forense, que serán explicadas en las secciones posteriores.

Finalmente, se encuentran una serie de anexos, que se detallan a continuación:

  • El primer anexo es un modelo de informe pericial, en el que se toma como referencia el modelo de informe propuesto por la norma UNE 197001, referenciada al principio del artículo, debiendo incluirse los siguientes apartados:
  1. Asunto
  2. Evidencias/muestras recibidas
  3. Resolución o estudios efectuados sobre las evidencias/muestras
  4. Situación final de las evidencias/muestras
  5. Conclusiones finales
  6. Anexos del informe
  • El segundo anexo trata genéricamente sobre las competencias con las que ha de contar el personal involucrado en las diversas fases del análisis forense, separadas en diferentes categorías, competencias técnicas, profesionales y personales.
  • El último anexo descrito en la norma se refiere al equipamiento para el análisis forense de las  evidencias  informáticas.  Se  debe  contar  con  herramientas  tanto  hardware  como software reconocidas por la comunidad forense internacional, aun no existiendo una normalización.

Preservación

En esta fase se pretende mantener en todo momento la validez y confiabilidad de las evidencias originales, siempre teniendo en cuenta una serie de principios, como disponer de protocolos que aseguren la integridad de las evidencias sometidas a estudio, de tal forma que se eviten modificaciones intencionadas, la exposición a campos magnéticos o la conexión accidental a redes inalámbricas. Los peritos informáticos que tengan el primer contacto con las evidencias deberán almacenar, precintar y sellar éstas en los soportes oportunos, a fin de preservar otro tipo de evidencias como pudieran ser huellas o restos orgánicos que estén asociados con el ADN, etc., así como llevar la indumentaria adecuada para evitar descargas electrostáticas y utilizar soportes aislados para evitar interferencias externas.

Del  mismo  modo,  el  personal  técnico  deberá  almacenar  dichas  evidencias  en  un  lugar seguro hasta que finalice el proceso pericial o, si no se dispone de dicho lugar, en una caja fuerte en el mismo entorno de trabajo.

Adquisición

Se realizará aquí un clonado a bajo nivel de los datos originales, siguiendo un procedimiento documentado para asegurar que el proceso de adquisición es reproducible y repetible, calculando el código hash de cada evidencia.

Si el lugar del incidente está delimitado físicamente, se deben seguir una serie de precauciones antes de proceder a la adquisición, que se detallan a continuación:

  1. Alejar a todas las personas no autorizadas de la escena
  2. Identificar al administrador de los sistemas en caso de necesitar apoyo técnico
  3. Mantener el estado de los dispositivos, si están encendidos, no apagarlos y viceversa
  4. Buscar posibles notas asociadas a las contraseñas o PINs de acceso a los equipos
  5. Fotografiar la escena, para documentar el estado inicial y para una posible reconstrucción posterior
  6. Etiquetar dispositivos y cableado
  7. Localizar equipos inalámbricos instalados y determinar los modos de conexión que usan
  8. No desconectar fuentes de alimentación cuando las evidencias estén almacenadas en soportes volátiles
  9. En los distintos dispositivos digitales, revisar la existencia de dispositivos de almacenamiento adicionales introducidos en ellos

Es importante el estado en el que se encuentran los sistemas, de modo que el proceso de adquisición no será el mismo en sistemas apagados que en sistemas encendidos, en los que comprometer la integridad de las posibles evidencias es relativamente fácil.

Sistemas apagados

Si los sistemas están apagados, las recomendaciones básicas, para el perito informático, son realizar un borrado seguro del soporte que va a contener el clonado forense y, una vez realizado dicho borrado, utilizar dispositivos bloqueadores de escritura (hardware o software) para garantizar la no alteración de los datos originales, calculando el resumen hash tanto de la información contenida en el soporte original, como en el soporte copia obtenido, comprobando que ambos resúmenes son idénticos.

En el caso de dispositivos móviles, si llevan la tarjeta SIM, se debería extraer la información contenida en ésta. Por otra parte, en caso de que no se tuviera conocimiento del número PIN o PUK, se debería solicitar este último a la operadora de telefonía mediante una autorización judicial. El dispositivo también contendrá información en la memoria interna, por lo que también debe realizarse una copia a bajo nivel de los datos allí almacenados.

Es importante recordar que se deberá calcular el hash de toda para cada conjunto de información extraída.

Sistemas encendidos

Cuando los sistemas están se encuentran en funcionamiento, se deberá proceder a su adquisición según el orden de volatilidad, de mayor a menor volatilidad. El grado de volatilidad posee, por lo general, dos niveles:

  • Información de la memoria RAM, particiones y archivos de intercambio (swap), procesos de red y del sistema operativo en ejecución.
  • Información de los sistemas de ficheros y datos contenidos en los sectores de los dispositivos por bloques.

En el caso de tratarse de entornos virtualizados, en los que cada una de las máquinas virtuales estará formada por varios ficheros, como el de configuración del hardware del equipo, el utilizado para la memoria y uno o varios discos físicos o virtuales. Aquí, la información a obtener serán los discos duros virtuales y un volcado de la parte de la memoria RAM utilizada por este entorno. De este modo, una vez obtenidos todos los ficheros de configuración de la máquina virtual y de los discos virtuales, se deberá ser capaz de reproducir el entorno original para su análisis.

Cuando se manipulan dispositivos móviles, éstos deberán ser aislados debidamente, de forma que no entren en contacto con redes inalámbricas que puedan manipular accidentalmente los datos contenidos dentro de ellos, para lo cual se utilizarán artilugios conocidos como jaulas de Faraday.

La metodología de análisis a seguir, consiste en realizar un clonado de las partes accesibles de la tarjeta SIM e introducir el clon de la tarjeta en el terminal. Una vez encendido el terminal, se realizará una copia a bajo nivel de los datos contenidos en su memoria interna. Si algún modelo específico de terminal no fuera soportado por las herramientas forenses disponibles, se podrá trasladar al informe la información que se lea en la pantalla o proceder como en el caso de los sistemas apagados.

Una vez se ha terminado con el proceso de análisis de los datos, no se deberá introducir de nuevo ni la batería ni la tarjeta SIM original y se deberá, como siempre, calcular el hash de toda la información extraída.

Documentación

Cualquier análisis forense requerirá un control sobre las evidencias que van a ser sometidas a estudio. Por tanto, se documentará todo el procedimiento desde que se inicia el análisis hasta que acaba, a través de la redacción del informe pericial a enviar al solicitante, indicando todos los procesos y herramientas utilizadas y el momento en que fueron ejecutados dichos procesos, siguiendo una secuencia temporal definida con vistas a elaborar un registro auditable.

Consecuentemente, la cadena de custodia debe tener implementado un sistema de gestión documental  donde  van  a  quedar  reflejados  todos  los  pasos  llevados  a  cabo.  Esta  gestión documental incluirá los siguientes documentos, entre otros:

  • Documento de recepción de evidencias informáticas, pudiendo llevar así un control de las peticiones de análisis y de las propias evidencias a estudiar.
  • Registro de la documentación recibida, teniendo en cuenta que entre los documentos que acompañarán a la evidencia, se puede encontrar una descripción de las evidencias y de la cadena de custodia hasta que dichas evidencias llegan al entorno de análisis, así como los estudios solicitados en dicho análisis y los permisos necesarios para realizar dichos estudios.
  • Registro de las evidencias, en el que se describirá detalladamente cada evidencia y su estado, en el momento de la recepción de la misma.
  • Registro del tratamiento inicial en el que se describirá el proceso de clonado (volcado de datos o realización de la imagen).
  • Registro de situación de evidencias, en el que se reflejarán las operaciones practicadas a una evidencia, dónde se practicaron, por quién y en qué momento.
  • Registro de tareas del análisis inicial.
  • Registro de  tareas  del  análisis  de  datos  definitivo,  junto a  la  expresión  temporal  de  los procesos llevados a cabo, así como la ubicación temporal de la evidencia si se paralizara temporalmente su estudio.

Análisis

Durante la fase de análisis, se llevarán a cabo una serie de procesos y tareas que intentarán dar respuesta a preguntas relacionadas con una intrusión, como su origen, la lista de sistemas afectados, los métodos usados, etc. Todos estos procesos y tareas deberán realizarse de forma metódica, auditable, repetible y defendible.

Al llegar las evidencias al laboratorio forense, deberán ejecutarse una serie de acciones previas:

  1. Comprobar que lo que se precisa estudiar está dentro de la competencia del laboratorio.
  2. Formar un mapa contextual de las evidencias, según la documentación adjunta, las relaciones entre las mismas y de éstas con los distintos actores implicados.
  3. Revisar la cadena de custodia previa a la llegada de las evidencias al laboratorio.
  4. Solicitar las autorizaciones que se precisen para el estudio solicitado, según la legislación vigente.
  5. Comprobar que las evidencias no están deterioradas y que se pueden someter a estudio.
  6. Si aparecen nuevas evidencias no contempladas anteriormente, se generará un nuevo proceso de gestión, custodia y trazabilidad siguiendo la norma UNE 71505, previamente descrita, notificándose al solicitante.
  7. Revisar la  hora  de  la BIOS del  equipo  sometido  a  estudio,  de  modo  que  pueda  ser comparada con la fecha del momento en que se active el análisis forense.
  8. Establecer unos criterios de prioridades.

Teniendo estas premisas en cuenta, se describirán a continuación las acciones y procesos que se llevarán a cabo, en líneas generales, durante la fase de análisis de las evidencias.

Recuperación de los ficheros borrados

Consiste en una recuperación total o parcial de los datos ubicados en áreas del disco no asignadas por el sistema en ese momento y en el espacio del disco sin utilizar, así como tratar de recuperar carpetas y archivos huérfanos, de los que se ha perdido su vinculación. Asimismo, se buscarán también archivos completos o fragmentos de éstos a través de sus cabeceras.

En el informe pericial se especificará claramente de dónde se ha extraído la información y qué método se usó para dicha recuperación.

Estudio de las particiones y sistemas de archivos

Este proceso tendrá como finalidad estudiar las diversas estructuras de los contenedores de almacenamiento de los dispositivos a estudiar (particiones, sistemas RAID, etc.).

El proceso incluirá una serie de tareas básicas:

  • Enumeración de las particiones actuales y de las que hubieran existido anteriormente.
  • Identificar zonas del disco ocultas no visibles para el sistema operativo, como las HPA o DCO.
  • Identificar los sistemas de archivos en los contenedores o en las particiones, con la identificación del contenedor que almacena el sistema operativo de inicio y el tipo de arranque o selector multiarranque.
  • Identificar también los sistemas de archivos de los discos compactos y los posibles archivos cifrados y/o protegidos por contraseña.
  • Proceder al montaje de los archivos contenedores de otros (comprimidos, empaquetados, etc.), verificando las cabeceras de los distintos formatos y sus resúmenes digitales.

Al realizar un análisis de la memoria RAM se estudiarán, para un momento temporal concreto, los procesos activos, ficheros abiertos, puertos y tomas de corriente activas, así como claves de acceso a programas o volúmenes cifrados del soporte de almacenamiento.

Estudio del sistema operativo

Se estudiará durante este proceso el sistema operativo instalado, la actividad de los usuarios existentes en dicho sistema y su política de seguridad.

El proceso englobará ciertos pasos:

  • Identificar el sistema operativo principal del equipo y su localización, así como otros sistemas operativos utilizados, su fecha de instalación y sus actualizaciones.
  • Identificar a los distintos usuarios junto a los privilegios y permisos de éstos dentro del sistema operativo, así como las fechas de último acceso al equipo de cada uno de los usuarios y su política de seguridad.
  • Identificación de los dispositivos hardware y software reconocidos por el sistema operativo o que pudieran haber estado instalados anteriormente.
Estudio de la seguridad implementada

La finalidad de este proceso será estudiar si las evidencias informáticas sometidas a estudio han sido comprometidas. Con el mismo fin se intentará identificar el posible software malicioso existente dentro de las distintas particiones identificadas, evaluando el grado de intrusión en el sistema informático y qué archivos fueron los comprometidos.

Análisis detallado de los datos obtenidos

Se incluirá el análisis detallado de las evidencias, teniendo en cuenta los análisis previos. Del mismo modo, se clasificarán los datos y opcionalmente se indexarán los mismos utilizando palabras clave, con el fin de agilizar posteriormente las búsquedas de indicios.

Un análisis forense detallado contemplará los siguientes aspectos:

  1. Hardware instalado, fecha, hora, datos de configuración regional, etc.
  2. Dispositivos físicos conectados en algún momento al equipo.
  3. Estudio del escritorio o pantalla principal y papelera de reciclaje.
  4. Conexiones de red y tarjetas instaladas y su dirección MAC, los protocolos usados y las direcciones IP.
  5. Estudio de las comunicaciones llevadas a cabo desde el equipo.
  6. Estudio del registro del sistema y de los logs de auditoría del sistema operativo.
  7. Información contenida en los espacios no asignados en las particiones y en el espacio no ocupado por los archivos lógicos.
  8. Información contenida en los archivos de hibernación, paginación, particiones y archivos de intercambio (swap), etc.
  9. Análisis de la cola de impresión.
  10. Enlaces a archivos y archivos accedidos recientemente.
  11. Estudio de las carpetas de usuario.
  12. Estudio de las aplicaciones instaladas.
  13. Estudio de los metadatos, en caso de ser de interés.
  14. Análisis de las aplicaciones de virtualización.
  15. Estudio de las bases de datos instaladas y de sus sistemas gestores.
  16. Estudio del software de cifrado y de los ficheros y particiones cifradas.
  17. Estudio de la navegación por Internet (cookies, historial, etc.).
  18. Análisis de correos electrónicos.
  19. Análisis de registros de mensajería instantánea y conversaciones, junto a la lista de contactos.

Presentación

Esta fase final consiste en plasmar toda la información obtenida durante el proceso de análisis de las evidencias en un informe pericial, firmado por el perito informático, dirigido al organismo o entidad que solicitó el estudio, teniendo en cuenta que este informe irá dirigido muchas veces a un público sin conocimientos técnicos profundos dentro del campo de la informática, por lo que deberá mantenerse un equilibrio entre la inteligibilidad y el rigor de lo escrito en el informe. Una vez redactado, se debe remitir el informe al organismo solicitante, junto al documento de control de evidencias, finalizando así el proceso de custodia de las evidencias y aportando trazabilidad a dicho proceso.

 

Estándares a nivel internacional

 

ISO/IEC 27037:2012

El estándar ISO/IEC 27037:2012 “Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence”, es una norma para la identificación, recolección, adquisición y preservación de evidencias digitales. El estándar ISO/IEC 27037:2012 proporciona directrices para actividades específicas como la identificación, recolección, adquisición y preservación de potenciales evidencias informáticas que pueden tener valor probatorio. Este estándar provee, al perito informático, de guías con respecto al proceso de manejo de la evidencia digital, así como orienta a las organizaciones en sus procedimientos de intercambio de evidencias digitales entre jurisdicciones (por ejemplo, para que un juzgado pueda, a fin de ser analizada por un perito informático, enviar una evidencia digital a otro, manteniendo la cadena de custodia de dicha evidencia).

El estándar ISO/IEC 27037:2012 incluye directrices de conservación de la evidencia y la cadena de custodia para dispositivos digitales de almacenamiento, como discos duros, memorias USB, discos ópticos y magnéticos, teléfonos móviles, PDAs, tarjetas de memoria, sistemas de navegación por satélite, cámaras de vigilancia (CCTV), ordenadores con conexión a la red, redes basadas en el protocolo TCP/IP y similares, etc.

Los principios fundamentales de la norma son los siguientes:

  • Metodología del proceso: la evidencia debe ser adquirida utilizando un método no intrusivo o mínimamente intrusivo.
  • Auditoría del proceso: el procedimiento seguido y la documentación generada deben poder ser auditados por peritos informáticos ajenos a los que adquirieron las evidencias, con una trazabilidad del proceso de recolección de las mismas.
  • Reproducción del proceso: el procedimiento debe poder ser repetido por peritos informáticos ajenos a los que lo ejecutaron por primera vez, partiendo de las mismas premisas y obteniendo los mismos resultados.
  • Defensa del proceso: el procedimiento debe poder ser defendido, demostrando la adecuación de las herramientas utilizadas en el mismo.

Asimismo, el tratamiento de las evidencias para cada tipología de dispositivo, es el siguiente:

  • Identificación: localización de la evidencia, sea física o lógica
  • Adquisición: recolección de la evidencia o de una copia forense de la misma, así como de la documentación asociada a ésta
  • Preservación: conservación de la evidencia como elemento inalterado, al objeto de que pueda ser admitido como prueba, es decir, conservando su cadena de custodia

 

ISO/IEC 27042:2015

El estándar ISO/IEC 27042:2015 “Information technology – Security techniques – Guidelines for the analysis and interpretation of digital evidence”, es una norma para el análisis e interpretación de evidencias digitales. El estándar ISO/IEC 27042:2015 proporciona directrices sobre cómo un perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).

Las definiciones que proporciona la norma para su utilización en la realización de un peritaje informático, son las siguientes:

  • Evidencia digital potencial: información identificada como posible evidencia digital, es decir, que aún no ha sido analizada, almacenada en un medio físico, o transmitida a través de la red en formato binario.
  • Evidencia digital: información identificada como evidencia digital, tras su correspondiente análisis forense utilizando las herramientas adecuadas, almacenada en un medio físico, o transmitida a través de la red en formato binario.
  • Evidencia digital legal: información identificada como evidencia digital que ha sido aceptada en un procedimiento judicial (prueba o pieza de convicción, según la terminología jurídica).
  • Investigación: aplicación de exámenes, análisis e interpretaciones sobre una potencial evidencia digital hasta convertirla en una evidencia digital legal.
  • Examen: conjunto de procedimientos que se aplican para identificar y recuperar una evidencia digital potencial de una o varias fuentes.
  • Análisis: evaluación de la evidencia digital potencial al objeto de valorar su posible importancia en una investigación.
  • Interpretación: síntesis o composición para explicar, dentro de su alcance, los hechos llevados a cabo en los exámenes y análisis que componen una investigación.

El estándar habla, asimismo, de los modelos analíticos que pueden utilizar los peritos informáticos, que se dividen en las siguientes categorías:

  • Análisis estático: es una inspección de la evidencia digital potencial (contenido de ficheros, datos borrados, etc.), a fin de determinar si puede ser considerada evidencia digital. Debe examinarse en crudo y utilizarse procedimientos que eviten la alteración de la evidencia digital potencial.
  • Análisis en vivo: es una inspección de evidencias digitales potenciales en sistemas activos, como memorias RAM, teléfonos móviles, tabletas, redes, etc. El análisis debe realizarse en caliente. A su vez, el análisis en vivo, se divide en:
    • Análisis en vivo de sistemas que no pueden ser copiados ni se puede obtener una imagen de los mismos: el riesgo para el perito informático de analizar en vivo este tipo de sistemas es evidente, ya que la potencial evidencia digital, puede perderse al no poderse realizar una copia de la misma. Por tanto, es muy importante minimizar el riesgo del análisis y llevar un registro de todos los procedimientos ejecutados.
    • Análisis en vivo de sistemas que pueden ser copiados o se puede obtener una imagen de los mismos: este tipo de sistemas deben analizarse interactuando con ellos directamente, prestándose sumo cuidado a la hora realizar emulaciones de software o hardware y utilizando para ello máquinas virtuales certificadas, o incluso los entornos reales para obtener unos resultados más cercanos a la realidad.

Asimismo, la ISO/IEC 27042:2015, enumera ciertas indicaciones o guidelines que debe incluir el perito informático en su informe pericial, a no ser que existan indicaciones judiciales en su contra. Dichas guidelines son las siguientes:

  • Calificaciones del perito informático
  • Información inicial de que dispone el perito informático y su equipo
  • Naturaleza del incidente que va a ser investigado por el perito informático
  • Fecha, hora y duración del incidente
  • Lugar del incidente
  • Objetivos de la investigación
  • Miembros del equipo de investigación supervisados por el perito informático
  • Fecha, hora y duración de la investigación
  • Lugar de la investigación
  • Hechos sustentados por una evidencia digital y hallados durante la investigación
  • Daños en la evidencia digital y sus implicaciones en los siguientes estadios del proceso de investigación
  • Limitaciones de todos los análisis realizados
  • Detalle de procesos y herramientas utilizadas
  • Interpretación de la evidencia digital por parte del perito informático
  • Conclusiones
  • Recomendaciones para futuras investigaciones

Por otra parte, la norma recalca que los hechos deben separarse totalmente de las opiniones del perito informático, de tal forma que dichas opiniones deberán ser fundadas y estar soportadas por los hechos que se desprendan de las evidencias digitales investigadas. El perito informático no podrá incluir, por tanto, en el informe pericial, ningún tipo de juicio de valor o afirmación que no se sustente en hechos puramente científicos.

Por último, el estándar concluye con determinadas indicaciones para los peritos informáticos, que hablan sobre la formación y el mantenimiento de las habilidades requeridas para ejecutar con la debida calidad las actividades conducentes a la gestión de la evidencia digital. Así, estas indicaciones son:

  • Definición de competencia profesional como habilidad para obtener un resultado a partir de la aplicación del conocimiento.
  • La incompetencia de una persona puede lastrar la investigación o, incluso, echarla a perder.
  • La competencia profesional de un perito informático debe ser medida e identificada con métricas como: carreras universitarias, exámenes, certificaciones, currículum, experiencia profesional, formación continua, asistencia a eventos formativos como congresos, simposios o conferencias, etc. En España, según las Leyes de Enjuiciamiento Civil y Criminal, el perito deberá estar en posesión de la titulación oficial correspondiente a la materia del dictamen para el ejercicio de la profesión, siendo el caso del peritaje informático, la Ingeniería o Ingeniería Técnica en Informática.
  • La competencia profesional de un perito informático deberá ser medida de forma periódica y en periodos regulares, incluyendo nuevas áreas de conocimiento.
  • Un perito informático será considerado competente, cuando de los análisis de sus investigaciones se obtengan resultados equivalentes a los de otro perito informático.
  • La competencia profesional deberá ser validada por terceros independientes del profesional.

 

RFC 3227

La RFC (Request For Comments) 3227 es un documento que recoge las principales directrices para la recolección y el almacenamiento de evidencias digitales, constituyendo un verdadero estándar para la recopilación y almacenamiento de evidencias. La RFC 3227 define un proceso para la recolección de evidencias que ayuda al perito informático a adquirir y catalogar las evidencias digitales.

Así pues, el proceso definido incide en la adquisición de una imagen del sistema que debe adquirirse lo más fidedigna posible, realizando notas detalladas que incluyan fechas e indicando si se está utilizando la hora local o el horario UTC, minimizando los cambios en la información que se está recolectando (eliminando si es posibles los agentes externos que pudieran ejecutar dichos cambios), priorizando la recolección sobre el análisis, recogiendo la información por orden de volatilidad (es decir, recopilando primero la información de las memorias cachés y de la memoria principal -RAM- y, posteriormente, recolectando la información de la memoria secundaria -discos duros-, seguidamente de las memorias USB y, finalmente, de las unidades ópticas, logs de sistemas y documentos.

El perito informático, según este estándar, deberá intentar por todos los medios que se pierda la mínima información posible, tomando la mejor decisión con respecto a si se deben extraer las evidencias de los ordenadores encendidos que han sido intervenidos (siempre ante fedatario público o autoridad que levante acta del proceso), o desconectar la máquina de la red a fin de evitar que se active cualquier programa informático diseñado para eliminar la información de las unidades físicas conectadas al ordenador, bien a distancia (botón de pánico), bien de forma programada. Es necesario señalar que esta desconexión provocará la desmagnetización de las cachés y de la memoria principal, cuya información se perderá irremediablemente, razón por la cual es necesario analizar y decidir in situ cuál es la mejor opción en función de lo que el perito informático perciba en los diferentes sistemas intervenidos.

Se deberán obviar también las informaciones proporcionadas por los programas del sistema, ya que éstos pueden haberse visto comprometidos. Tampoco deben ejecutarse programas que modifiquen los metadatos de los ficheros del sistema.

Asimismo, el perito informático deberá prestar especial atención a no vulnerar, bajo ningún concepto, la privacidad de las personas, cumpliendo en todo momento con la Constitución, que protege la privacidad del individuo en su artículo 18, así como con las leyes que desarrollan dicho artículo. Es necesario prestar también especial cuidado sobre la información comprometida de la organización, puesto que puede darse el caso que se hallen almacenadas fórmulas, planos, o cualquier otro tipo de activos sometidos a las leyes de la propiedad industrial.

Por tanto, la recolección de la evidencia debe seguir los principios de:

  • Admisibilidad: la prueba debe ser admisible por un Tribunal de Justicia
  • Autenticidad: debe ser posible vincular la prueba al incidente o delito
  • Completitud: la prueba debe ser completa, no parcial
  • Confiabilidad: no se debe poner en duda el proceso de recolección de la prueba, por lo que debe conservarse de forma absolutamente escrupulosa la cadena de custodia, al objeto de evitar que el Tribunal inadmita la prueba
  • Credibilidad: la prueba debe ser fácilmente comprensible por el Tribunal que vaya a evaluarla

El estándar define igualmente un procedimiento de recolección de evidencias, que debería ser lo más detallado posible, inequívoco y reduciendo al mínimo la cantidad de toma de decisiones necesaria durante el proceso de recolección. Así pues, se define que el proceso debe ser transparente, de tal forma que todos los métodos utilizados para la recolección de la prueba deben ser reproducibles, lo que significa que el procedimiento debe ser forense (del latín forensis, “público y notorio”), así como el deber de la utilización de métodos estándares.

Se debe crear un listado con todos los sistemas involucrados en el incidente, al objeto de recoger posteriormente la prueba, estableciendo una relación de las evidencias que es más probable que sean admitidas, pecando por exceso, en lugar de por defecto, si fuese necesario, en la toma de precauciones para la recolección de la evidencia.

Para cada sistema informático, se debe obtener el correspondiente orden de volatilidad en cada una de sus memorias, desconectando cada sistema del exterior para evitar alteraciones en las evidencias, reuniendo posteriormente las evidencias con las herramientas forenses necesarias. Es necesario, asimismo, registrar el grado de sincronización del reloj del sistema y, a la vez que se van recolectando evidencias, indagar en la posibilidad de qué otros elementos pueden llegar a considerarse evidencias. Además, es necesario documentar cada paso y recoger en un documento las personas involucradas en el procedimiento, tomando nota de quién estaba allí y de qué estaba haciendo cada uno, así como de sus observaciones y reacciones. Finalmente, es necesario calcular los resúmenes o códigos hash para cada una de las evidencias, sin alterar éstas, al objeto de iniciar un procedimiento de cadena de custodia de las pruebas.

Por otra parte, el procedimiento de archivo de las evidencias define cómo deben almacenarse las pruebas. La evidencia debe estar claramente protegida y, además, debidamente documentada. Así pues, el perito informático necesitará, muy probablemente, la ayuda de un fedatario público (en España, un notario o un secretario judicial), que otorguen fe pública al acto de generación de la cadena de custodia mediante el cálculo del código hash correspondiente a la prueba. Además, se debe generar documentación conducente a la descripción clara de cómo se encontró la evidencia, cómo se manipuló y quién tiene bajo la custodia de quién está la evidencia en cada momento, detallando los cambios que se produzcan en la custodia de ésta.

El acceso a las evidencias almacenadas deberá ser limitado y deberán documentarse también las personas que tendrán permiso para acceder a las mismas, así como los cambios de custodia que se produzcan en las pruebas. Sería conveniente, asimismo, implementar un mecanismo que detecte accesos no autorizados a las pruebas.

Todos los programas que el perito informático necesite para realizar el análisis forense de las pruebas, deberá ser preparado con anterioridad en medios ópticos de “sólo lectura”, como CDs o DVDs, debiendo incluir, al menos, un programa de cada una de las siguientes tipologías:

  • Un programa para el examen de los procesos
  • Un programa para examinar el estado del sistema
  • Un programa para realizar copias bit a bit
  • Un programa para calcular sumas de verificación o códigos hash
  • Un programa para la generación de imágenes básicas y para analizar éstas
  • Una secuencia de comandos para automatizar la recopilación de pruebas.

Además, se deberá estar preparado para garantizar la autenticidad y fiabilidad de las herramientas que se utilicen.

 

RFC 4810

La RFC 4810 define un estándar que debe seguirse para la preservación de la información al objeto de que, la existencia de determinados archivos, creados en un determinado momento del tiempo, pueda ser probada, así como su integridad desde el instante de su creación hasta el momento en que es presentada como evidencia por un perito informático. Igualmente, la RFC define qué tipo de sistemas de ficheros pueden dar soporte a este tipo de escenarios y qué requisitos deben cumplir los mismos.

Finalmente, la RFC define la forma en que una firma digital debe poder ser verificada tras haber transcurrido un tiempo indeterminado desde la generación de la misma.

 

RFC 4998

La RFC 4998 define un estándar que debe seguirse para la preservación de la información, incluyendo información firmada digitalmente, al objeto de demostrar su existencia e integridad durante un periodo de tiempo que puede ser indeterminado. La RFC define qué tipo de sistemas de ficheros pueden dar soporte a estos escenarios y qué requisitos debe cumplir un Registro de Evidencias, en el que se apoye un perito informático, para garantizar la existencia de dicha información, al objeto de evitar que pueda ser repudiada.

 

RFC 6283

La RFC 6283 define un estándar para demostrar la existencia, integridad y validez de información, incluyendo información firmada digitalmente, durante periodos indeterminados de tiempo. La RFC define, además, la sintaxis en lenguaje extensible de marcas XML, así como las reglas de procesado, que deben seguirse para la creación de evidencias íntegras de información de largo periodo al objeto de evitar su repudio.

Peritaje informático sobre análisis y detección de malware, virus o programas espías en teléfonos móviles de tipo iOS (Apple), Android o Windows Phone

Es muy frecuente que, en los tiempos que corren y debido a la masificación de los teléfonos inteligentes o smartphones, un cliente requiera a un perito informático la realización de una investigación forense para comprobar si en su teléfono existe algún tipo de malware informático, programa espía, keylogger o algún otro tipo de software malicioso. La ejecución de un análisis forense es un paso previo y absolutamente necesario para la realización de un peritaje informático y la presentación de una posible denuncia ante el Cuerpo Nacional de Policía o la Guardia Civil, siempre y cuando en el análisis forense se detecte la presencia de malware y pueda determinarse su procedencia.

La mejor forma que tiene el perito informático de enfrentarse a una posible infección de malware, virus o programas espías en un teléfono móvil o tableta es realizando un escáner de malware con la herramienta UFED Physical Analyzer de Cellebrite. Para ejecutar este escáner, es preciso, en primer lugar, realizar una extracción física o lógica de la evidencia utilizando la herramienta Cellebrite UFED Touch (es preferible la extracción física a la lógica, ya que la extracción física genera una imagen absolutamente clónica del estado del terminal en el momento de ejecución de la misma, incluyendo el sistema de archivos completo, pero llevar a cabo dicho tipo de extracción requiere de la alteración previa del terminal en forma de rooteo, por lo que sería preciso realizar ambas acciones ante notario –rooteo y extracción física-). En los terminales más modernos de tipo iOS (los cuales, en general, deben ser extraídos con la herramienta UFED Physical Analyzer en lugar de con la Cellebrite UFED Touch), aún no es posible realizar extracciones físicas, pero sí se pueden realizar extracciones lógicas avanzadas. Para la realización de este ejemplo, se ha realizado una extracción lógica (no física) de un terminal LG X150.

Una vez el perito informático ha realizado la extracción física, lógica o lógica avanzada de la evidencia, debe cargarla en el programa UFED Physical Analyzer, al objeto de que, sobre la misma, se ejecute el análisis de malware. A continuación, se muestra una captura de pantalla con la imagen forense  del terminal LG X150 cargada  (extracción lógica).

peritaje_informatico_virus_movil_1

Para la ejecución del análisis de malware es necesario navegar hacia el menú Herramientas, pinchar en la opción Escáner de malware y, posteriormente, en el botón Explorar malware. A continuación, se adjunta captura de pantalla correspondiente a la mencionada selección.

peritaje_informatico_virus_movil_2

Una vez seleccionado el botón Explorar malware, el análisis de malware comienza y se puede comprobar su progreso en la parte inferior izquierda de la pantalla. A continuación, se adjunta captura de pantalla de la instantánea tomada en el momento de la ejecución del análisis.

peritaje_informatico_virus_movil_3

Al finalizar el análisis, la herramienta UFED Physical Analyzer indicará si el dispositivo móvil analizado es portador de algún tipo de malware, programa espía, keylogger, etc. Como se puede observar en la siguiente captura de pantalla, el resultado ha sido negativo en este caso.

peritaje_informatico_virus_movil_4

Si el resultado hubiese sido positivo, habría sido necesario analizar la procedencia del malware, para realizar un peritaje informático que el cliente pudiera presentar en su denuncia ante el Cuerpo Nacional de Policía o ante la Guardia Civil (el informe de un perito informático es condición sine qua non para interponer una denuncia de este tipo). Si el origen del malware no pudiera ser identificado, el perito informático debería realizar una investigación completa de la extracción forense del terminal, al objeto de tratar de encontrar direcciones IP o de correo electrónico, números telefónicos, etc., que pudieran desvelar pistas sobre el origen del malware. En definitiva, se deben buscar, para el malware, posibles orígenes cuya titularidad, el perito informático, no podría, a priori, determinar, ya que carece de autorización judicial, siendo la Policía Judicial la que debería proceder a su identificación, una vez se haya obtenido la pertinente autorización del juez (para lo cual, el informe pericial informático deberá presentar indicios muy sólidos y pistas muy contundentes sobre el origen del malware).

Los acusados del ‘caso Anonymous’, absueltos gracias a un peritaje informático

Según recoge la sentencia dictada el 6 de julio de por la Magistrada titular del Juzgado de lo Penal número 3 de Gijón, Doña María Asunción Covadonga Domínguez Luelmo, así como diversos medios de comunicación que se han hecho eco de la misma, los tres acusados por el ‘caso Anonymous’, han sido absueltos de todos los cargos y ya no pesa ninguna acusación sobre los mismos, aunque la sentencia no es firme y puede ser recurrida en apelación a la Audiencia Provincial de Asturias por el Ministerio Fiscal. La juez considera que las pruebas presentadas habían perdido su cadena de custodia, por lo que sobre los acusados no concurría el derecho a la tutela judicial efectiva, consagrado en el artículo 24 de la Constitución Española.

 

Ahondando en el sentencia, el perito informático demostró que los resúmenes informáticos o, en lenguaje técnico, códigos hash de los discos duros incautados a los acusados, no coincidían con los que habían sido obtenidos por los investigadores policiales en el momento de la intervención de dichos discos duros, habiendo sido anotados, los mencionados códigos hash, en un acta firmado por la secretaria judicial presente en la intervención. Los códigos hash no coincidían con los que posteriormente calculó el perito informático y, por tanto, la prueba se ha declarado contaminada e inválida. La jurisprudencia, en la STS 685/2010, de 7 de julio, así como en la STS 356/2016, de 26 de abril, tal y como aparecen mencionadas en la sentencia objeto del presente artículo, determina que únicamente con la mera sospecha de la pérdida de la cadena de custodia de una prueba, no se puede invalidar ésta, sino que es necesaria una certeza de que dicha pérdida en la cadena de custodia es real. Debe recordarse que es a través de la cadena de custodia como se satisface la garantía de la “mismidad de la prueba”, según la STS 1190/2009, de 3 de diciembre. La juez, en este caso, ha considerado que la certeza en la pérdida de la cadena de custodia es absoluta, ya que se trata de un cálculo matemático y, por tanto, absolutamente exacto y nunca aproximado, en el que basta con modificar uno sólo de los miles de millones de bits que contiene un disco duro, como recoge la propia sentencia, para que el resumen o hash sea distinto.

 

Asimismo, como ya ha sido señalado en varias ocasiones por este perito informático en diversos artículos escritos en esta página web, así como en importantes medios jurídicos en los que este profesional colabora, la correcta obtención del código hash de un disco duro ante fedatario público (notario o secretario judicial), es vital para el establecimiento de la cadena de custodia en las pruebas informáticas, de tal forma que ésta permita asegurar la tutela judicial efectiva de un acusado o, simplemente, iniciar correctamente un proceso de conservación de la “mismidad de la prueba”, en caso de que un particular deseara emprender acciones judiciales contra otro o contra una empresa, siempre y cuando dichas acciones judiciales vayan a estar sustentadas en pruebas informáticas. Esta obtención del código hash del disco duro o, en general, de la prueba, evitará posibles acusaciones de manipulación de la misma sobre el perito informático de parte encargado del caso o, simplemente, evitará suspicacias sobre la prueba achacables a la parte actora en cualquier pleito que se inicie y que descanse sobre pruebas informáticas.

 

Por otra parte, como ya se indicó en un artículo de esta misma página web, la jurisprudencia establece en la Sentencia 1599/1999 del Tribunal Supremo, que no es necesario que el secretario judicial esté presente en el volcado de un disco duro pero, si se toma la decisión, como aparece recogido en la sentencia objeto de este artículo, de que dicho funcionario esté presente para otorgar mayor fiabilidad y seguridad al proceso, no se puede ignorar lo que éste hace constar como fedatario, es decir, el conjunto de los códigos hash de las pruebas obtenidos en el momento de la intervención, de tal forma que, posteriormente, si éstos no coinciden con los calculados por el perito informático, se ponga de manifiesto que las pruebas han sido efectivamente contaminadas. El secretario judicial es, por tanto, en caso de estar presente, el encargado de velar por que las actuaciones de los investigadores forenses se elevan a documento público, pese a que la jurisprudencia dictamina que no se hace necesaria su presencia en los volcados informáticos debido a su carencia de conocimientos técnicos.

 

Leyendo la sentencia, en el proceso del ‘caso Anonymous’ se observa que, o bien se cometió un error al transcribir los códigos hash de los discos (no al obtener los mismos, ya que este procedimiento es realizado por una clonadora forense o un programa informático forense estándar y ninguno de éstos se equivoca), o bien que las pruebas fueron realmente alteradas a posteriori, presumiblemente de forma accidental, por los investigadores policiales. Estos errores ponen de manifiesto, como indica en un artículo periodístico el abogado defensor de uno de los acusados, ahora absuelto, que las Fuerzas y Cuerpos de Seguridad del Estado deberían ser acompañados por profesionales peritos informáticos independientes que, como siempre ha defendido este profesional, deben ser peritos informáticos colegiados, de tal forma que, en las intervenciones policiales y siempre bajo la tutela de los investigadores forenses y del secretario judicial, se encarguen de manipular y clonar o volcar las pruebas informáticas correctamente, transcribiendo los códigos hash de las pruebas de forma fidedigna.

 

El ‘caso Anonymous’ demuestra que el perito informático es un profesional cada vez más importante en la sociedad actual, totalmente informatizada en todos sus órdenes, así como absolutamente indispensable en los procesos judiciales actuales. Es necesaria, por tanto, la creación a nivel nacional de un Cuerpo de Peritos Informáticos Colegiados que acompañen a los investigadores policiales en las intervenciones y velen por la correcta manipulación de las pruebas informáticas, evitando su contaminación y conservando la cadena de custodia sobre las mismas.

Caso práctico de peritaje informático: análisis forense mediante bloqueo de escritura de un disco duro

Cuando un perito informático se enfrenta al análisis de un disco duro para la realización de un peritaje informático, se deben tomar importantes precauciones. La primera de ellas es clonar el disco duro para no utilizar directamente el original, obteniendo mediante la clonadora el código hash correspondiente para cada disco (original y copia), después de la aplicación del algoritmo de hash implementado por la clonadora. La segunda precaución es no analizar el disco duro clonado conectándolo directamente al ordenador personal, sino a través de una bloqueadora de escritura. Una bloqueadora de escritura es una herramienta fundamental para el perito informático, ya que permite analizar un disco duro en modo de bloqueo de escritura, es decir, sin tener que preocuparse de que algún sector del disco pueda ser escrito accidentalmente, por lo que se mantiene la cadena de custodia durante el análisis forense del disco duro. Así pues, una vez analizado el disco duro habiendo utilizado el bloqueador de escritura, el código devuelto por el algoritmo de hash debe ser el mismo que antes de la realización del análisis.

 

En primer lugar, es necesario obtener el código hash del disco duro que se va a utilizar para realizar la prueba. Para ello, es necesario conectar a una clonadora el mencionado disco duro (el del ejemplo, con capacidad de un terabyte e interfaz SATA), para posteriormente ejecutar el algoritmo que devuelve dicho código. Para la prueba, se utilizará la clonadora Tableau TD2u (perteneciente al laboratorio de informática forense de este perito informático), que devolverá el código del algoritmo de hash SHA-1 para el disco duro utilizado. Como se puede observar en la fotografía adjunta, el código hash devuelto es 57615B9731C839086796C28B4113786669C4292D, tras realizar una clonación forense desde un disco duro origen a un disco duro destino (el utilizado como ejemplo).

codigo-hash-clonacion

 

Tras la conexión del disco duro a la bloqueadora de escritura y la posterior activación de ésta, es necesario seleccionar, bien el modo de lectura y escritura, bien el modo de sólo lectura, poniendo sumo cuidado en seleccionar este último para no escribir accidentalmente en el disco duro. A continuación, se ilustra mediante una fotografía el procedimiento de conexión del disco duro a una bloqueadora de escritura WiebeTech ComboDock V5, también perteneciente al laboratorio de informática forense de este perito informático, así como su posterior conexión, a través del bloqueador de escritura, a un ordenador personal mediante interfaz USB, al objeto de proceder a su análisis.

conexion-disco-sata-con-bloqueadora

Una vez se ha seleccionado en la bloqueadora de escritura el modo de sólo lectura y se ha conectado la misma al ordenador, el sistema operativo detecta y monta automáticamente las distintas particiones que componen el disco duro, lo cual se puede observar en la siguiente captura de pantalla. El sistema operativo utilizado es Microsoft Windows, pero también se podría utilizar cualquier distribución de Linux, ya que existen drivers compatibles con Linux para las bloqueadoras de escritura más importantes del mercado.

 

En este momento, es necesario acceder a una de las particiones del disco. En la siguiente captura de pantalla se puede comprobar que en el directorio raíz de la partición etiquetada por Windows como “Nuevo vol (G:)”, existe un directorio y ningún fichero.

captura-pantalla-original

Para comprobar la efectividad del bloqueo de escritura, se copiará un fichero cualquiera en el directorio raíz de la partición seleccionada, tal y como se muestra en la siguiente captura de pantalla (nótese que se podría copiar el fichero en cualquier subdirectorio de cualquiera de las particiones). En este punto del proceso, cuando realmente se esté en un análisis forense real, es cuando el perito informático debe usar las herramientas de software de análisis forense que estime más convenientes para cada caso, al objeto, bien de analizar la información que contiene el disco, bien de obtener ficheros borrados, bien de obtener información oculta, etc.

captura-pantalla-fichero-copiado

 

Posteriormente, se procede a desmontar la bloqueadora de escritura del sistema operativo. Para realizar esta operación, lo más seguro y conveniente es utilizar la herramienta de desmontado de volúmenes de Windows.

Una vez la bloqueadora de escritura ha sido desmontada, es necesario volver a montarla al objeto de comprobar que el fichero no se ha copiado en la raíz de la partición “Nuevo vol (G:)”. Como se puede observar en la siguiente captura de pantalla, efectivamente, el fichero no aparece copiado en la mencionada partición.

captura-pantalla-segunda-conexion

 

Finalmente, es necesario volver a obtener el código hash del disco duro para comprobar que la bloqueadora de escritura ha impedido la escritura en el mismo. Para ello, es necesario volver a conectar el disco duro a la clonadora y, tal y como se aprecia en la siguiente fotografía, el código hash SHA-1 obtenido es 57615B9731C839086796C28B4113786669C4292D, es decir, el mismo que se obtuvo al principio.

codigo-hash-despues-conexion

 

Cuando se realiza un peritaje informático en el que es necesario el análisis de un disco duro o de cualquier otro tipo de almacenamiento físico (memorias USB, tarjeas SD y sus variantes, etc.), es fundamental realizarlo sobre una copia clónica de la prueba y, además, usando una bloqueadora de escritura sobre dicha copia, al objeto de no alterar ni contaminar la prueba que está siendo analizada, así como de mantener la cadena de custodia sobre la misma en todo momento. Asimismo, todo el proceso explicado en el presente artículo, debe ser descrito e ilustrado por el perito informático en el informe pericial informático que se realice en cada caso, para dejar claro al lector del informe que los procedimientos han sido seguidos escrupulosamente, incluso cuando haya sido necesaria la presencia de un notario para la realización de parte del peritaje informático, como el clonado del disco duro.

Peritaje informático de ficheros de audio, vídeo o fotografías almacenados en dispositivos móviles con sistemas operativos iOS (Apple), Android o Windows Phone

En muchas ocasiones, un perito informático es requerido para realizar un informe pericial informático al objeto de verificar la autenticidad de un fichero de audio, de vídeo o de fotografía que se halla almacenado en un teléfono inteligente o una tableta. Ante esta tesitura, el perito informático debe tener en cuenta que el mejor análisis forense posible que puede realizarse a un fichero informático almacenado en un teléfono o tableta, es el que analiza los metadatos del mismo.

Los metadatos de un fichero son unas propiedades internas al propio fichero, que informan sobre el mismo y que corren el riesgo de desaparecer o de ser modificadas o alteradas por un sistema externo si se produce una copia no forense del fichero hacia el disco duro de un ordenador o hacia una memoria USB. De los metadatos de un fichero se puede extraer la fecha de creación del mismo, la fecha de su última modificación, la fecha de su última lectura, así como las coordenadas geográficas en las que fue tomada una fotografía, el tipo de dispositivo con el que fue grabado un fichero de audio o de vídeo, etc.

 

Al objeto de realizar una correcta obtención y posterior análisis de los metadatos de un fichero almacenado en un dispositivo móvil, el perito informático debe, en primer lugar, obtener una imagen forense del mismo. Esta imagen forense puede ser física o lógica. Una imagen o extracción física es una clonación exacta (bit a bit) del contenido de un teléfono móvil, incluso los mensajes, archivos y bases de datos que han sido previamente eliminados, lo que permite incluso realizar lo que en informática forense se denomina file carving. Una imagen o extracción lógica es el conjunto o listado completo de todos los archivos que, en el momento de la extracción, se hallan en el sistema de ficheros del dispositivo móvil, es decir, en el teléfono o tableta.

Para la realización de cualquiera de este tipo de extracciones, el perito informático debe utilizar una herramienta de extracción forense de información almacenada en dispositivos móviles y, posteriormente, una herramienta de análisis forense de dicha información. De las muchas herramientas de extracción de la información almacenada en dispositivos móviles existentes en el mercado, este perito informático dispone de la Cellebrite UFED Touch, la mejor y más utilizada, entre otros, por las Fuerzas y Cuerpos de Seguridad del Estado de todo el mundo, así como de la herramienta de análisis forense UFED Physical Analyzer, también de Cellebrite.

 

Como ejemplo para la realización del presente artículo, este perito informático ha utilizado el terminal LG X150 que, como se puede observar en la siguiente captura de pantalla, aparece conectado a la herramienta Cellebrite UFED Touch (propiedad de este perito informático), mientras dicha herramienta está realizando una extracción lógica del contenido del teléfono móvil, en el laboratorio de informática forense de este perito informático. La extracción lógica proporcionará, al objeto de realizar el ulterior peritaje informático, todos los archivos que, en el momento de la extracción, se encuentran en el terminal y que no han sido borrados por el propietario del teléfono.

Peritaje_informático_foto_Cellebrite

La extracción lógica del contenido del terminal, a la izquierda de la imagen, se almacena en el disco duro que se observa a la derecha de la imagen, al objeto de poder ser analizada posteriormente por el perito informático. Una vez ha concluido la extracción lógica del terminal, es necesario desconectar, de la herramienta Cellebrite UFED Touch, el disco duro donde se ha almacenado la imagen. Conectando el disco duro al ordenador, se pueden observar, tal y como se aprecia en las dos siguientes capturas de pantalla, los ficheros correspondientes a la extracción lógica o imagen del terminal, que deberá ser utilizada por el perito informático para la realización del análisis forense de los metadatos del o de los ficheros, al objeto de elaborar posteriormente el informe pericial informático.

Peritaje_informático_UFED_1

Peritaje_informático_UFED_2

A continuación, es necesario cargar la imagen del terminal en el programa UFED Physical Analyzer, de Cellebrite, donde se podrán estudiar los metadatos del o de los ficheros que el perito informático desee analizar. La siguiente captura de pantalla muestra la imagen del terminal cargada en el programa UFED Physical Analyzer.

Peritaje_informático_UFED_3

Una vez el perito informático ha cargado la imagen forense del terminal en el programa UFED Physical Analyzer, debe dirigirse al menú Imágenes, al objeto de comprobar todos los ficheros multimedia de imágenes incluidos en la extracción forense. En dicho menú, el perito informático podrá comprobar que puede obtener todas las fotografías almacenadas en el terminal y que no han sido previamente eliminadas, al objeto de poder analizar sus metadatos para elaborar el peritaje informático requerido. A modo de ejemplo, se ha seleccionado una fotografía tomada de la estatua del Oso y el Madroño de Madrid desde el mencionado terminal, tal y como se muestra a continuación.

OsoYMadroño

El análisis de los metadatos EXIF de la fotografía, como se advierte en la siguiente captura de pantalla, revela que ésta fue tomada a las 14:28:25 horas del día 24 de abril de 2016 (propiedad DateTime), mediante el terminal móvil LG X150 (propiedad Modelo). Este análisis forense permite concluir que la fotografía no presenta indicios de manipulación, ya que el terminal con el que dicha fotografía fue tomada es el mismo que el analizado, las condiciones climatológicas son las correspondientes a las de las 14:28:25 horas del día 24 de abril de 2016 en Madrid y, además, no se puede observar en los metadatos de la fotografía el rastro de ningún programa de edición de imágenes y fotografías.

Peritaje_informático_UFED_4

Asimismo, el programa UFED Physical Analyzer también proporciona al perito informático el código hash MD5 de la fotografía, que es 62614074826bd1de7f3fc52dfa17f42a. Dicho código hash puede observarse en la siguiente captura de pantalla procedente del UFED Physical Analyzer.

OsoYMadroñoHashPeritajeInformático
 

Así pues, el perito informático deberá incluir, en su informe pericial, una explicación del proceso de extracción lógica de los datos del terminal, los códigos hash correspondientes a los ficheros que conforman la mencionada imagen forense, el propio código hash de la mencionada la fotografía analizada, así como una explicación detallada del análisis de los metadatos del fichero multimedia en cuestión. Como colofón, el perito informático podrá concluir, tras la realización del análisis forense, que la fotografía no presenta indicios de manipulación y que, por tanto, se puede considerar como prueba a todos los efectos procesales.

Si en lugar de una fotografía, el perito informático tuviese que enfrentarse al análisis forense de un fichero de audio, vídeo o de cualquier otro tipo de formato (inclusive un PDF o un fichero de Microsoft Office), almacenado en un dispositivo móvil, el proceso para realizar el peritaje informático sería equivalente.

El perito informático como asesor tecnológico independiente

Una de las principales funciones del perito informático como profesional liberal, es la de ejercer una labor de asesoramiento tecnológico como profesional independiente y experto. El perito informático colegiado, al estar titulado en Ingeniería o Ingeniería Técnica en Informática y, por tanto, ser el mejor conocedor posible de cualquier asunto relacionado con la tecnología, es un experto en la legislación aplicable al desarrollo y la ejecución de proyectos informáticos, es capaz de redactar los requisitos del proyecto con el nivel de detalle acorde a las necesidades del cliente, es conocedor de la jurisprudencia existente a tener en cuenta en cualquier litigio que pudiera surgir a lo largo del desarrollo del proyecto informático, es un experto en qué cláusulas contractuales son más ventajosas a la hora de firmar un contrato de desarrollo de software, conoce perfectamente la legislación y la jurisprudencia aplicables en materia de propiedad intelectual del software y, además, es un experto en mediación tecnológica.

 

Contar con el asesoramiento de un perito informático a la hora de contratar la realización de un proyecto informático, es absolutamente vital si se desea que el desarrollo del proyecto o del producto contratado se ejecute de forma satisfactoria, con el objetivo focalizado, exclusivamente, en el beneficio para el cliente. Un perito informático podrá asesorar a la empresa cliente a la hora de negociar las cláusulas del contrato con la empresa de desarrollo, poniendo especial foco de atención en el documento de Especificación de Requisitos del Software, así como en las cláusulas relativas a la propiedad intelectual del software y a la propiedad del código fuente.

 

En incontables ocasiones, las empresas de desarrollo de software se aprovechan de la falta de conocimientos informáticos del cliente para redactar unas especificaciones ambiguas, carentes de detalle, de tal forma que, a la entrega del proyecto y después de que el cliente compruebe que el sistema informático no realiza las funciones tal y como él había previsto, la empresa de desarrollo siempre podrá acogerse a que dichas funcionalidades no aparecen especificadas en el documento funcional o Especificación de Requisitos del Software.

En este punto, el cliente siempre puede contratar los servicios de un perito informático colegiado para iniciar un proceso civil, pero dicho perito informático tendrá que enfrentarse a la realización de un peritaje informático en el que deberá demostrar que las funcionalidades de un sistema informático no casan con las que fueron especificadas, vagamente, en un documento de requisitos ambiguo. En este caso, como el documento es confuso, siempre podrá interpretarse de una forma u otra y, la empresa de desarrollo podrá, también, contratar los servicios de otro perito informático que rebata las conclusiones del primer perito informático contratado por el cliente. Finalmente, con dos peritajes informáticos contradictorios, el juez solicitará la insaculación de un tercer perito informático que determine quién tiene la razón, causando una cascada de gastos a la empresa cliente que incluso podría no recuperar, si el perito informático judicial dictamina que la documentación funcional, al ser tan indeterminada, es acorde a lo ejecutado en el proyecto informático por la empresa de desarrollo.

Debido a estas circunstancias, la mejor decisión para el cliente será siempre que el perito informático se encuentre presente en la negociación de los términos del contrato de desarrollo, así como de los requisitos funcionales que deberán plasmarse en el documento de Especificación de Requisitos del Software, al objeto de evitar cualquier ambigüedad en la redacción de los mismos. El trabajo del perito informático en este punto del desarrollo será crucial para delimitar y redactar, con el máximo nivel de detalle, todas las funcionalidades que el cliente desea en su sistema informático, así como los escenarios de éxito y error en cada uno de los casos de uso del sistema.

El perito informático constituirá también un valor para el cliente, ya que éste será asesorado en todo momento por el perito informático como profesional independiente y ajeno, tanto al propio cliente, como a la empresa de desarrollo, así como ahorrará al cliente una interminable lista de costes ya que, en la mayoría de las ocasiones, el contar con su presencia desde el inicio del desarrollo del proyecto, evitará que éste sea entregado con deficiencias y, por tanto, que se deba comenzar un procedimiento civil, con todos los gastos que dicho proceso genera, como el abogado, el procurador, el perito informático, las costas judiciales, el coste de oportunidad, al impedir el desarrollo del negocio y, el más importante, el tiempo perdido, tanto a nivel personal, como profesional, como de negocio. Contar, por tanto, con el asesoramiento de un perito informático desde el principio del desarrollo del proyecto, se puede considerar una inversión en lugar de un gasto.

 

El perito informático, como Ingeniero o Ingeniero Técnico en Informática, es un experto en todas y cada una de las fases del desarrollo de software, por lo que es el profesional indicado para asesorar tecnológicamente a cualquier cliente que contrate el desarrollo de un proyecto y desconozca la tecnología subyacente, las metodologías de desarrollo, así como la legislación aplicable a este tipo de proyectos en materia de propiedad intelectual. La contratación de los servicios de un perito informático colegiado es una inversión segura para el cliente.

El perito informático en la suplantación de identidad en Internet

En muchas ocasiones, un perito informático es requerido para la realización de un informe pericial en el que se deje constancia de que la identidad de una persona ha sido suplantada. En algunas ocasiones, también, el perito informático es requerido para demostrar justamente lo contrario, es decir, que una persona acusada de suplantación de identidad, no tiene por qué ser culpable de la comisión del delito. La labor del perito informático, en ambos casos, es ceñirse a las evidencias aportadas por el cliente, tanto en Internet como en autos, analizando la cadena de eventos de principio a fin y obteniendo conclusiones a partir de la misma.

 

La identidad de una persona puede suplantarse en Internet de muchas y variadas formas, como por ejemplo, abriendo páginas en redes sociales a nombre de esa persona sin su autorización, publicando anuncios en páginas de contactos con datos personales y teléfono reales de un tercero, creando una cuenta de correo electrónico con su nombre y apellidos exactos y enviando información maliciosa a otras personas, etc. Es imposible controlar ni evitar que se pueda suplantar la identidad de una persona en Internet, por lo que la concienciación social debe dirigirse hacia el punto de que todo lo que aparece en internet sobre una persona puede no ser real, es decir, que la persona que aparentemente se encuentra detrás de una página en una red social, o de un anuncio en una página web de contactos, o de un correo electrónico, realmente puede no ser ella, sino un delincuente que ha usurpado su identidad.

 

Cuando una persona se encuentra con que ha sido víctima de una suplantación de identidad en la red, debe acudir inmediatamente a un perito informático que certifique fehacientemente la situación y deje constancia de la misma en un informe pericial informático, de tal forma que, acto seguido, pueda presentar una denuncia ante las autoridades con las máximas garantías. Es muy importante acudir rápidamente a un perito informático, ya que la información en Internet es volátil, es decir, puede perderse de forma irremediable, por lo que sería imposible efectuar la denuncia. Un perito informático colegiado dispone de los conocimientos y herramientas apropiados para que la información que aparece en Internet pueda ser extraída, almacenada, conservada y presentada en una denuncia ante las autoridades con todas las garantías. Asimismo, el perito informático podrá, posteriormente, acudir al juicio a defender el informe pericial presentado, al objeto de exponer sus argumentos y conclusiones.

 

En la inmensa mayoría de los casos, tras presentar la correspondiente denuncia adjuntando un informe pericial informático, el juez solicitará, a través de la Policía Judicial, la dirección IP desde la que se ha cometido el delito de suplantación al proveedor del servicio informático a través del cual se ha cometido el delito (red social, página web de contactos, proveedor de correo electrónico, etc.). Una vez el juez posea la dirección IP desde la que se ha cometido el delito y, muy importante, el instante temporal en que éste se cometió, ordenará su cotejo con los proveedores de acceso a Internet, para determinar qué titular tenía asignada dicha dirección IP en ese momento.

 

Si el juez, una vez haya sido informado del nombre y apellidos del titular, estima que éste, o alguna persona que viva o trabaje con él, es sospechoso de la comisión del delito, deberá inmediatamente ordenar la confiscación de sus ordenadores y dispositivos informáticos mediante intervención judicial, al objeto de encontrar evidencias que determinen, en un ulterior examen forense de las mismas por parte de un perito informático policial, la autoría del delito. Según la STS 8316/2012, el que una persona sea titular de una línea a la que ha sido asignada una dirección IP, en un momento dado del tiempo, en el que se ha cometido un delito desde dicha dirección IP, no es cuestión necesaria y suficiente para culpabilizar al titular de la línea de la comisión del delito si no existen más pruebas. Esta circunstancia quedó perfectamente explicada en un artículo escrito por este perito informático.

La Informática en la reforma de la Ley de Enjuiciamiento Criminal

(Publicación original por Javier Rubio Alamillo, perito informático, en el Diario La Ley, el día 10 de diciembre de 2015. Publicado en esta página web con autorización expresa del propietario de los derechos de autor).
 

I. Introducción

En su artículo dieciocho, punto cuarto, la Constitución Española dispone textualmente que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Dicho artículo está enmarcado dentro de la Sección Primera, correspondiente a los derechos fundamentales y de las libertades públicas, del Capítulo Segundo del Título I, correspondiente a los derechos y deberes fundamentales, del texto supremo de nuestro ordenamiento jurídico. Treinta y ocho años después de la aprobación de la Constitución, la sociedad española sigue indefensa ante los desafíos constantes que plantea la Informática, ya que los profesionales de la Ingeniería Informática que deben velar por el cumplimiento de este artículo inserto en nuestra Carta Magna, siguen ejerciendo profesionalmente en un limbo jurídico al no estar regulada su profesión, con el grave perjuicio que esto supone para todos los ciudadanos.

El hecho de que los padres de nuestra Constitución fuesen conscientes, hace ya casi cuarenta años, en los albores de la Informática, que el mal uso de ésta podría constituir un peligro para los derechos fundamentales, nos dice mucho de la importancia que tiene y que ya comenzaba a tener, en aquellos tiempos lejanos, la Informática en nuestra sociedad. Hace cuarenta años, Internet era sólo un proyecto de investigación entre unas cuántas universidades punteras norteamericanas, siendo hoy en día el principal canal de comunicación a nivel global. Hace cuarenta años, los teléfonos móviles no existían, mientras que hoy en día todo el mundo tiene un teléfono inteligente conectado a Internet, estando al tanto de todas las noticias que ocurren a nivel mundial de forma instantánea y en comunicación directa e inmediata con amigos y familiares que viven en países remotos.

 

El avance y la penetración de la Informática y, fundamentalmente, el desarrollo de Internet, no sólo han traído ventajas y adelantos enormes a la forma en que nos comunicamos y en que nos enteramos de las noticias que ocurren en el mundo, sino que, al igual que en el mundo real, en el virtual también hay delincuencia, tanto aislada como organizada. Todos los delitos que se pueden cometer en el mundo real, también pueden cometerse en el virtual: amenazas, coacciones, delitos contra la libertad sexual o contra el honor, violencia de género, tráfico de personas y de drogas, terrorismo, etc. Además, a todo el conjunto de delitos clásicos, hemos de añadirle los delitos propios del mundo virtual, como el sabotaje a sistemas informáticos, la entrada no autorizada en redes y sistemas, la difusión de material de terceros sin su consentimiento (tanto datos personales como íntimos), la distribución no autorizada de material protegido por derechos de autor o piratería informática, la distribución de ficheros de pornografía infantil, etc.

La legislación española en materia informática ha estado siempre muy retrasada con respecto a los avances informáticos propiamente dichos, a la vez que ha sido siempre bastante ambigua y poco clara. Esta ambigüedad se detecta, por ejemplo, en el hecho de que la legislación esté plagada de términos como “prueba electrónica”, “medio telemático” o “sistema informático”, utilizados todos ellos de forma indistinta.

Según el DRAE, la Electrónica es el “estudio y aplicación del comportamiento de los electrones en diversos medios, como el vacío, los gases y los semiconductores, sometidos a la acción de campos eléctricos y magnéticos”. La Informática, por el contrario, es el “conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores”. Es un hecho, por tanto, que una de las bases de la Informática es la Electrónica, pero no la única, ya que para que se pueda tratar de forma automática la información por medio de ordenadores, además del movimiento de los electrones y, por tanto, de la Electrónica, es necesaria la intervención de otras disciplinas. Entre las más destacadas, las Matemáticas en sus diversas ramas (incidiendo particularmente en el Álgebra Booleana, que permite abstraer la informática como una estructura algebraica formada por ceros y unos), la Teoría de la Computabilidad (que permite, de forma simplificada, conocer qué problemas pueden resolverse y cuales no utilizando un ordenador), la Arquitectura de Computadores (que define la forma en que los distintos componentes de un ordenador interactúan entre sí), la Programación, que hace posible el desarrollo de programas, la Ingeniería del Software (que permite diseñar sistemas informáticos de acuerdo a estándares medibles de calidad) y otras múltiples y muy variadas disciplinas del conocimiento científico.

Por tanto, un aparato electrónico propiamente dicho es un televisor, una nevera o una lavadora y, es evidente que este tipo de electrodomésticos no pueden ser utilizados para cometer delitos informáticos, pues no se pueden ejecutar programas sobre ellos (aunque la tecnología domótica está avanzando mucho y ya existen electrodomésticos capaces de conectarse a Internet y realizar ciertas funciones básicas, como ordenar la compra, pero el usuario tiene una interacción extraordinariamente limitada o incluso nula con dichos programas). Sin embargo, en ningún momento se puede considerar a un ordenador como un aparato puramente electrónico, ya que los programas que se ejecutan sobre el mismo realizan funciones muy complejas que necesitan obligatoriamente de la interacción del usuario y, por tanto, el ordenador sí puede ser utilizado para cometer actividades delictivas. Un ordenador, por tanto, debería considerarse como una prueba informática y no electrónica.

Asimismo, cuando se utiliza el término “medio telemático”, también se induce a confusión al ciudadano, ya que la telemática no es más que la unión de las palabras “telecomunicaciones” e “informática”, pero la infraestructura de red en sí misma (cables, módems , enrutadores y, en definitiva, dispositivos físicos de red que sólo ejecutan firmware (1) y son incapaces de ejecutar software (2)), no puede utilizarse para la comisión de delitos si no es gracias al software, es decir, los programas informáticos, que ejecutan los ordenadores conectados a la red, por lo que también estaríamos hablando de medios informáticos. Siguiendo la misma lógica, un disco duro y una memoria de almacenamiento masivo también son dispositivos informáticos, ya que la información ha sido almacenada en los mismos a través de sistemas informáticos (ordenadores y redes de ídem) y no electrónicos (electrodomésticos y asimilados).

Hablar de “prueba electrónica” carece de sentido desde el momento en que no se puede obtener ninguna información útil para el proceso judicial con un acceso directo a los electrones que componen las evidencias informáticas (3), no siendo siquiera posible realizar dicho acceso. De hecho, el eminente procesalista Michele Taruffo, en su obra magna sobre Derecho Procesal “La prueba” (4), ya habla de la “prueba informática” sin ningún otro tipo de calificativo. Una analogía similar a lo que ocurre con la prueba informática, sería denominar a la prueba caligráfica como prueba “silábica”, “alfabética” o algún calificativo parecido, cuando parece claro que las sílabas o las letras por sí mismas no son capaces de aportar nada si se necesita determinar la autenticidad de un documento manuscrito, siendo necesario un estudio profundo en un orden de abstracción superior, que es la escritura. La Informática se sitúa, de esta manera, en un orden de abstracción superior a la Electrónica.

Es, por tanto, un hecho, que el legislador ha enmarañado la legislación en el sentido indicado, probablemente por desconocimiento o por el uso de los modismos tecnológicos de cada momento, aunque el ciudadano, cuando tiene un problema informático de índole legal, acude a peritos informáticos y no a peritos electrónicos ni telemáticos, que ni siquiera existen oficialmente. De hecho, una búsqueda simple por los términos “perito electrónico” y “perito telemático” en el conocido buscador Google, arrojan a fecha de la escritura del presente artículo, únicamente 1030 y 2330 resultados, respectivamente (se trata, en ambos casos, de resultados residuales relacionados, fundamentalmente, con cursos de formación de instituciones privadas). Por el contrario, la búsqueda del término “perito informático” arroja 561000 resultados.

Además, a este secular retraso y notoria ambigüedad legislativa, es necesario sumar la histórica escasez de medios, tanto técnicos, como humanos, de que disponen las Fuerzas y Cuerpos de Seguridad del Estado a la hora de afrontar los retos que suponen los delitos informáticos o los delitos cometidos a través de sistemas informáticos.

 

La reforma, en primer lugar, del Código Penal, agravando ciertos supuestos penales relacionados con la comisión de actividades delictivas realizadas a través de sistemas informáticos e incluyendo otros nuevos, seguida de la reforma de la Ley de Enjuiciamiento Criminal, que desarrolla la forma en que la Justicia y las Fuerzas y Cuerpos de Seguridad del Estado investigan y persiguen los delitos, gravitando dicha reforma, más que en los delitos informáticos propiamente dichos, en los delitos clásicos cometidos a través de sistemas informáticos, viene a confirmar las carencias que tenía la legislación española en esta materia. Sin embargo, la manera en que se ha llevado a cabo la mencionada reforma de la Ley de Enjuiciamiento Criminal, así como el resultado final, distan mucho de ser satisfactorios.

 

Observando el texto redactado del nuevo articulado de la Ley de Enjuiciamiento Criminal, se puede deducir con facilidad que el Gobierno que, conforme a nuestro ordenamiento jurídico, ha liderado la reforma, no ha estado correctamente asesorado por los profesionales que mejor conocen la Informática y las redes, es decir, por Ingenieros e Ingenieros Técnicos en Informática, ahora convertidos en Graduados y Máster, respectivamente, egresados por miles cada año de nuestras universidades. Y baste un ejemplo para confirmar esta premisa.

El nuevo apartado 6 del artículo 282 bis, dispone textualmente que “el agente encubierto informático, con autorización específica para ello, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido y analizar los resultados de los algoritmos aplicados para la identificación de dichos archivos ilícitos.” Un algoritmo, en Informática y de forma muy simplificada, es un procedimiento que resuelve un problema. Por tanto, no se entiende muy bien qué quiere expresar el legislador cuando indica que ha de ejecutarse un procedimiento informático para identificar un archivo ilícito que, el agente informático, según dispone el propio artículo, ha enviado a un potencial delincuente haciéndose pasar por ídem, por lo que dicho archivo señuelo ya debería estar totalmente identificado, indexado junto a otros ficheros utilizados para el mismo fin en una base de datos policial centralizada y, por supuesto, almacenados todos ellos en sistemas informáticos seguros y auditados por expertos, internos y externos.

El articulado completo de la Ley está plagado de incoherencias técnicas, como denominar a una red de ordenadores como red de comunicaciones electrónicas en el artículo 588 ter b, que dispone el ámbito para la interceptación de las comunicaciones telefónicas y telemáticas, o referirse en el artículo 588 ter e a un sistema de comunicación telemática, que ya de por sí es una nomenclatura incorrecta, como lógica o virtual, cuando, en función del prisma desde el que se analicen, son términos cuyo significado puede ser similar en lenguaje de calle, por lo que no tendría sentido discriminarlos, o totalmente divergente y fuera de contexto en lenguaje técnico, por lo que ambos estarían fuera de lugar. No se trata, por tanto, de términos que obedezcan a realidades contrapuestas, como parece dar a entender el artículo. Además, el género es incorrecto, ya que la palabra sistema es masculina y la denominación lógica o virtual se refiere a un femenino, que no puede ser telemática ya que carece aún más de sentido denominar a esta disciplina como lógica o virtual que a un sistema de comunicación.

Así pues, es comprensible que el legislador tenga lagunas en aquellas áreas sobre las que dicta normativa legal, pero no se entiende que no se rodee de los profesionales adecuados al objeto de recibir el correcto asesoramiento en la materia sobre la que está legislando.

 

Asimismo, en otro plano, la reforma de la Ley de Enjuiciamiento Civil decreta que los juzgados deberán trabajar, a partir del 1 de enero de 2016, sólo y exclusivamente a través de medios informáticos. Sin embargo, no especifica cómo se llevará a cabo la gestión y salvaguarda de la información almacenada en soporte informático, ni qué tipo de seguridad será necesaria aplicar en las redes informáticas judiciales (conectadas a Internet como cualquier otra red), ni quiénes serán los encargados de ejecutar dichos procedimientos, aunque un análisis pormenorizado de estas cuestiones deberá ser tratado en otro artículo.

 

II. Análisis de las implicaciones informáticas de la reforma de la Ley de Enjuiciamiento Criminal

Para determinar el alcance real de la nueva Ley de Enjuiciamiento Criminal en lo que respecta a la Informática, es necesario analizarla capítulo a capítulo. Como ya se ha mencionado, la reforma gira fundamentalmente en la manera en que la Justicia y las Fuerzas y Cuerpos de Seguridad del Estado deben investigar los delitos clásicos cometidos a través de sistemas informáticos, más que los delitos informáticos propiamente dichos. La comisión de la mayoría de los delitos informáticos propiamente dichos, por su propia naturaleza, no permitía hasta el momento la suspensión de los derechos fundamentales de los sospechosos, aunque a partir de ahora, existen resquicios legales que permitirán esta suspensión. Se incluyen en esta tipología delitos como estafas, sabotajes informáticos, piratería o delitos contra la propiedad intelectual, espionaje empresarial u otro tipo de delitos contra la propiedad industrial, etc., quedando excluidos los delitos cometidos en el seno de una organización criminal, para los que ya sí se contemplaba la suspensión de los derechos fundamentales.

Así pues, la reforma de Ley de Enjuiciamiento Criminal está especialmente enfocada a la forma en que se van a investigar los delitos de terrorismo o su enaltecimiento, de incitación al odio, contra la seguridad del Estado, el crimen organizado (tráfico de armas, trata de seres humanos, tráfico de drogas, etc.) y, en definitiva, todos aquellos delitos que permiten suspender los derechos fundamentales del ciudadano. Pero, es precisamente este tipo de discriminación en la tipología delictiva del que adolece la nueva reforma, dejando a vagos criterios del medio a través del cual se comete el delito investigado, la posibilidad de suspender algo tan importante como los derechos fundamentales y, dejando en el aire, la posibilidad de que en el transcurso de la investigación de delitos considerados menores, se puedan intervenir las comunicaciones, espiar ordenadores mediante programas informáticos especializados (conocidos en la jerga como troyanos), intervenir equipos informáticos y, en definitiva, limitar los derechos recogidos en el artículo 18 de la Constitución Española. Es como si, en lugar de acatar la Constitución y “limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, el legislador se sirviese de los avances de la Informática para limitar los mencionados derechos.

 

III. Adición de los apartados 6 y 7 al artículo 282

Como ya se ha mencionado en párrafos anteriores, a partir de ahora, el juez podrá ordenar que un “agente informático encubierto”, es decir, un “policía informático”, envíe ficheros ilícitos a un sospechoso de haber cometido un delito especificado en el artículo 588 ter a que, a su vez, hace referencia al artículo 579.1 y añade los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. En lenguaje llano, un “policía informático” podría enviarnos, si se tiene la sospecha de que estamos cometiendo un delito de cualquier tipo (incluso un delito menor), uno o varios archivos ilícitos que posteriormente podrían ser encontrados en nuestro ordenador en una intervención domiciliaria.

Dichos archivos, incluso, podrían aparecer en inventarios o en informes periciales policiales posteriores como material ilícito hallado en nuestros discos duros o memorias, debido a que, si no existe un inventario efectivo de dichos ficheros ilícitos que vayan a ser utilizados como señuelo, auditados por profesionales externos y almacenados, cada uno de ellos, en una base de datos segura junto a su correspondiente código hash (5) para evitar su manipulación, no sería posible distinguirlos del material ilícito realmente obtenido por el acusado sin la ayuda policial. Además, es necesario incidir también en el hecho indiscutible que supone como incitación a cometer una actividad delictiva el envío de un fichero ilícito a un ciudadano, toda vez que, un delincuente real, podría diseminar estos archivos por la red sin control, siendo encontrados en intervenciones domiciliarias por la Policía Judicial y sin saber si realmente dichos ficheros fueron enviados por la Policía como señuelo, o por delincuentes reales que tomaron esos ficheros policiales y luego los diseminaron como parte de su actividad criminal.

 

IV. Capítulo V, de la interceptación de las comunicaciones telefónicas y telemáticas

El artículo 588 ter a, de la Sección Primera del Capítulo V, dispone como “presupuestos”, que “la interceptación de las comunicaciones telefónicas y telemáticas, sólo podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos a que se refiere el artículo 579.1”, es decir, delitos castigados con pena máxima de tres años de prisión, delitos en el seno de una organización criminal o delitos de terrorismo, así como “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Es esta última tipología delictiva la que causa controversia, ya que convierte al sospechoso en el transcurso de una investigación judicial de algún delito menor, en potencial ciudadano que se puede ver privado de sus derechos fundamentales sólo por el hecho de ser usuario de sistemas informáticos.

 

El artículo 588 ter c, también de la Sección Primera del Capítulo V, dispone como “afectación a terceros”, que “podrá acordarse la intervención judicial de las comunicaciones emitidas desde terminales o medios de comunicación telemática pertenecientes a una tercera persona siempre que exista constancia de que el sujeto investigado se sirve de aquella para transmitir o recibir información, o el titular colabore con la persona investigada en sus fines ilícitos o se beneficie de su actividad”. En lenguaje llano, esto quiere decir que cualquier persona que tenga contacto telefónico o mediante aplicaciones informáticas con un sujeto incurso en una investigación criminal, también podrá ser investigada, sólo por el mero hecho de comunicarse con él, ya que no especifica la tipología de la información de la que debe servirse el sujeto investigado (activo) del tercero (pasivo) para que a éste le sean intervenidas las comunicaciones.

 

Un artículo muy controvertido es el 568 ter e, también de la Sección Primera del Capítulo V, que dispone como “deber de colaboración” el que deben “todos los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información”, etc., al juez, al Ministerio Fiscal y a los agentes de la Policía Judicial. Esto se traduce en que las compañías de telefonía, acceso a Internet, almacenamiento e, incluso, los administradores de sitios web como redes sociales o foros, deberán colaborar obligatoriamente con la Justicia, cediendo datos personales y de conexión, en todos los supuestos en los que ésta les requiera.

Dichos supuestos incluirán, en la teoría, casos de investigación de delitos menores, en los que cualquier usuario sospechoso puede verse envuelto sólo por el mero hecho de utilizar en su día a día, para trabajar o para uso personal, sistemas informáticos, o de terceras personas que pueden verse involucradas en una investigación sólo por mantener contacto telefónico o informático con sospechosos dentro de una investigación de delitos considerados menores. En la práctica, cualquier ciudadano puede, a partir de ahora, encontrarse con que sus datos personales han sido cedidos a la Justicia y ésta ha intervenido sus comunicaciones por haber escrito, por ejemplo, un comentario subido de tono en un blog o foro, o por detectarse que tiene contacto habitual con alguien que escribe comentarios subidos de tono en blogs o foros.

 

Otro artículo polémico es el 588 ter l, de la Sección Tercera del Capítulo V, relativo a la “identificación mediante número IP”. El artículo, dispone textualmente que “cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en internet, los agentes de la Policía Judicial tuvieran acceso a una dirección IP que estuviera siendo utilizada para la comisión algún delito y no constara la identificación y localización del equipo o del dispositivo de conectividad correspondiente ni los datos de identificación personal del usuario, solicitarán del juez de instrucción que requiera de los agentes sujetos al deber de colaboración según el artículo 588 ter e, la cesión de los datos que permitan la identificación y localización del terminal o del dispositivo de conectividad y la identificación del sospechoso”. La catalogación como sospechoso del abonado identificado por una dirección IP mediante la cual se están cometiendo actividades delictivas, cuestiona la jurisprudencia que ya existe (6) al respecto y que dictamina, básicamente, que la asociación entre una IP y un abonado no es condición necesaria y suficiente para culpabilizarle de la comisión del delito, tal y como ha sido explicado por algunos profesionales (7).

 

V. Capítulo VIII, del registro de dispositivos de almacenamiento masivo de información

Continuando con el análisis, en el punto primero del artículo 588 sexies a, del Capítulo VIII, relativo a la “necesidad de motivación individualizada”, se dispone la forma en que la Policía Judicial debe intervenir los ordenadores y dispositivos informáticos del sospechoso en un registro judicial, aunque lamentablemente, la palabra informática no aparece en todo el artículo. Una lectura del artículo y de los subsiguientes, nos revela que no se ha dispuesto normativa legal para garantizar la conservación de la cadena de custodia de los dispositivos informáticos intervenidos. Esto significa que se deja, en cada caso particular, a la libre disposición del juez y de los agentes de la Policía Judicial, la forma efectiva en que se llevará a cabo la mencionada conservación de la cadena de custodia.

No es un asunto baladí el de la conservación de la cadena de custodia, tal y como se ha explicado por algunos profesionales (8). La conservación de la cadena de custodia es vital para las garantías procesales del acusado, ya que si en un examen forense posterior a la intervención domiciliaria, se detecta que las pruebas o dispositivos informáticos están o pueden estar contaminados, se podría llegar a cuestionar o, incluso, invalidar todo el proceso (9).

No es admisible que la nueva Ley de Enjuiciamiento Criminal nazca coja en esta importantísima parte del proceso teniendo en cuenta, sobre todo, los enormes quebraderos de cabeza que suelen dar las pruebas que aparentemente se detectan como contaminadas o posiblemente contaminadas. Por ejemplo, en un encargo reciente del perito que suscribe, el Cuerpo Nacional de Policía intervino a un acusado una serie de discos duros con vídeos cuyo contenido era ilegal según el artículo 189 del Código Penal. Pues bien, tras un examen pormenorizado de los autos, se descubrió que en el inventario de los vídeos realizado por la Policía Judicial en la intervención del domicilio del acusado, acta del secretario judicial, ahora letrado de la administración de justicia, mediante, había menos vídeos y algunos de sus títulos eran distintos, que los que detectó la sección de Informática Forense del Cuerpo Nacional de Policía dos años después, cuando analizó los discos duros y redactó su informe pericial.

La conservación de la cadena de custodia en un disco duro o memoria de almacenamiento masivo es una cuestión delicada. Baste señalar que la mera conexión de un disco duro o memoria USB a un ordenador personal para proceder a su análisis, sin necesidad de interactuar con el disco, contamina la prueba de forma irremediable. Para evitar esta contaminación, es necesario el uso de bloqueadoras de escritura, que son dispositivos que actúan como puente entre el disco duro o memoria y el ordenador, de tal forma que el disco o memoria nunca se conectan directamente al ordenador, sino a la bloqueadora, siendo ésta la que se conecta finalmente a la máquina.

Así pues, la conservación de la cadena de custodia en discos duros y otros dispositivos de almacenamiento masivo es una tarea que debe realizarse con material forense especializado, capaz de clonar (10) (que no copiar, que es un concepto distinto en Informática Forense), los discos duros de forma rápida y proporcionar un código hash al investigador, calculado a partir de un algoritmo de cifrado (11) estándar. Según la jurisprudencia (12), no es necesario que el letrado de la administración de justicia esté presente hasta que concluya el volcado (clonado) de los discos duros, por lo que el código hash proporcionado por las clonadoras para cada disco intervenido y su copia, no podría, normalmente, ser anotado en el acta levantada por el letrado de la administración de justicia y debería, por tanto, ser anotado por los agentes de la Policía Judicial en un atestado levantado a efecto de la intervención domiciliaria.

 

Siguiendo con el análisis del segundo punto del mismo artículo, en éste se dispone que la incautación de material informático en un registro domiciliario no legitima el acceso a su contenido, algo para lo cual se necesita, según el propio artículo, una autorización ulterior del juez. Este punto es extremadamente importante, ya que si la Policía Judicial no puede acceder in situ a los discos duros al objeto de que el letrado de la administración de justicia levante acta, delante del acusado, del contenido de los mismos y, dicho acceso sólo puede ser autorizado de forma ulterior, es decir, posterior, por el juez, la cadena de custodia de los discos se perdería de forma automática salvo que se realice una clonación de cada disco y se genere y anote su correspondiente hash y el de su copia clónica en la propia intervención domiciliaria, tal y como se ha explicado en los párrafos anteriores.

Bien es cierto que la legislación española garantiza de forma teórica el mantenimiento de la cadena de custodia de las pruebas incautadas hasta que son llevadas a sede judicial y analizadas, aunque no puede obviarse que un disco duro o memoria es un dispositivo que puede ser fácilmente manipulado, incluso hasta el punto de no dejar rastro en la manipulación, por lo que las garantías del acusado quedarían a merced de la buena voluntad de los funcionarios judiciales y policiales, lo cual es inadmisible. Alguien malintencionado podría desprecintar cuidadosamente el disco duro, manipularlo sin dejar rastro y volver a colocar el precinto. Cualquier suspicacia sería evitada con una clonación in situ del material intervenido, delante del acusado y su letrado, obteniendo los códigos hash correspondientes para cada disco duro y su copia clónica.

En la Informática, casi cualquier dispositivo, programa o almacén de datos es manipulable, hasta el punto de que incluso puede no dejarse rastro de la manipulación, tal y como demostró el profesional que suscribe con los mensajes de WhatsApp, una de las diez aplicaciones más utilizadas del mundo con 700 millones de usuarios, en un artículo técnico (13) publicado en su página web hace pocas semanas, con una notable repercusión en los medios más importantes del país, tales como el diario El Mundo (14), la cadena COPE (15) o el Telediario de Televisión Española (16), así como en medios internacionales. Esta importante circunstancia, es decir, que los dispositivos, programas y bases de datos informáticas son manipulables sin que muchas veces pueda detectarse tal manipulación, ni siquiera por peritos informáticos, debe tenerse muy en cuenta a la hora de trabajar con ellos a nivel judicial, con el objeto único del cumplimiento de todas las garantías procesales para con el acusado.

 

Ahondando en la falta de definición de un reglamento procesal para el mantenimiento de la cadena de custodia de los dispositivos informáticos intervenidos a un acusado, el punto primero del artículo 588 sexies c, del Capítulo VIII, relativo a la “autorización judicial” de la intervención de los dispositivos informáticos, dispone que será el juez de instrucción el que “autorice el acceso a la información contenida en los dispositivos” incautados, fijando “los términos y el alcance del registro” y pudiendo “autorizar la realización de copias de los datos informáticos”. Asimismo y, muy importante, el artículo fija que será el juez quien determine “las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación” al objeto de poder practicar una prueba pericial.

En ningún caso se indica cómo se debe producir el acceso de los agentes a la información al objeto de garantizar la integridad y las garantías de preservación de los datos informáticos, ni tampoco cómo deben realizarse las copias de los datos. Y he aquí un punto fundamental y con consecuencias muy graves, ya que la Ley no especifica que se realizarán copias de los dispositivos (discos o memorias), sino de los datos, lo que genera una inseguridad muy alta teniendo en cuenta que para copiar los datos es necesario acceder directamente a los mismos (por lo que la prueba quedaría automáticamente contaminada, tal y como se ha especificado en párrafos anteriores y, además, los discos podrían ser alterados a discreción en origen y en destino, añadiendo o eliminando datos, sin dejar rastro de la manipulación, tal y como también ya se ha especificado). Asimismo, normalmente, cuando se copian datos directamente de un dispositivo a otro (en lo que se denomina copia lógica), los archivos borrados no se copian, razón por la cual es necesario ejecutar una copia física o clonación.

 

Finalizando el análisis del Capítulo VIII, el punto cuarto del artículo 588 sexies c, dispone que, en casos de urgencia, que no aparecen especificados en el presente apartado del artículo en cuestión, la Policía Judicial podrá acceder sin autorización judicial a los medios incautados motivando un escrito, dentro de las primeras veinticuatro horas desde la intervención domiciliaria, que justifique la necesidad de dicho acceso al juez, siendo éste el que, en un plazo de setenta y dos horas, deberá contestar afirmativa o negativamente. Es decir, que la Policía podrá acceder sin autorización judicial, al menos inicialmente, a los dispositivos incautados. No se dispone que el abogado del acusado deba estar delante cuando se produzca este acceso al material y, tal y como ya se ha mencionado anteriormente, un disco duro o memoria es un dispositivo físico que puede ser muy fácilmente manipulado sin dejar rastro, por lo que, una vez más y de forma inaceptable, se delegan las garantías procesales del acusado en los funcionarios policiales en lugar de en el propio proceso, lo cual es inadmisible.

 

Como colofón al análisis del Capítulo VIII, relativo al registro de dispositivos de almacenamiento masivo de información, se puede concluir que el proceso para el mantenimiento efectivo de la cadena de custodia en dichos dispositivos brilla por su ausencia. No se entiende, por tanto, que una Ley de carácter eminentemente procesal como la que se ha reformado, no incluya directrices de obligado cumplimiento para el efectivo mantenimiento de la cadena de custodia de todos los dispositivos incautados a un sospechoso, pudiéndose llegar a poner, incluso, en tela de juicio, las garantías procesales del ciudadano investigado.

 

VI. Capítulo IX, sobre los registros remotos sobre equipos informáticos

Otro de los artículos más controvertidos de la nueva Ley es el 588 septies a, relativo a los “presupuestos”, en el que se dispone que el juez “podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”, siempre que se sospeche que se están cometiendo delitos en el seno de una organización criminal, delitos de terrorismo, delitos cometidos contra menores o discapacitados, así como “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Una vez más, al igual que en el artículo 588 ter a, no se define qué tipología de delitos se enmarca en esta última definición, generando una importante inseguridad jurídica que permitirá intervenir las comunicaciones e instalar programas informáticos intrusivos en los ordenadores de personas que, por ejemplo, escriban determinado tipo de comentarios considerados como peligrosos en foros o en redes sociales. Como se puede observar, la Ley queda totalmente abierta, sin limitar de forma efectiva en qué supuestos las autoridades podrán suspender los derechos constitucionales del ciudadano.

Un escollo muy importante, además, reside en el tipo de programas informáticos que se van a utilizar para espiar a los ciudadanos que se vean involucrados en el curso de una investigación de este tipo, dónde se van a poner los límites a las acciones que pueden realizar dichos programas (en la práctica, las posibilidades que ofrecen el uso de este tipo de sistemas son muy amplias, inclusive el envío y recepción de archivos ilícitos a través de una backdoor (17) sin que el sospechoso se percate, tal y como indica el nuevo artículo 282 bis, apartado 6, de tal forma que luego podrían ser utilizados judicialmente en su contra), así como qué profesionales van a auditar de forma externa el código fuente de estos programas para verificar que efectivamente no se extralimitan en sus funciones. Ninguna de estas importantísimas eventualidades aparecen recogidas en la Ley, lo cual general, una vez más, una inseguridad jurídica inaceptable.

 

Como se indicó al principio del artículo, la Ingeniería Informática es, lamentablemente, una profesión no regulada por el Estado, siendo la única Ingeniería de relevancia aún en el limbo jurídico. El que, a partir de ahora, un agente de Policía, haciéndose pasar por delincuente, pueda enviar archivos ilegales a nuestros ordenadores, o programas informáticos que pueden espiarnos, así como que dichos programas pueden llegar incluso a ser capaces de recibir también archivos ilegales que, posteriormente, podrían ser potencialmente utilizados en nuestra contra, nos ofrece una idea de la encrucijada jurídica en la que nos encontramos.

Sin un registro pormenorizado de los ficheros que van a ser utilizados como señuelos por parte de la Policía, así como de los programas informáticos que se utilizarán como troyanos para espiar a los sospechosos, auditados y almacenados ambos en bases de datos seguras, junto a sus códigos hash para evitar cualquier posible manipulación malintencionada sobre los mismos, ningún proceso judicial tendrá las debidas garantías procesales. Sin un registro, como decimos, de ficheros señuelo y troyanos, sería virtualmente imposible discriminar qué archivos han sido enviados por los agentes encubiertos o por troyanos, en lugar de ser conseguidos de forma ilícita por el sospechoso, por lo que se podría dar la paradoja de que un ciudadano fuese condenado por tener en su posesión y, eventualmente, distribuir, archivos ilícitos que en realidad le fueron enviados como señuelos por parte de algún agente encubierto de la Policía o de algún troyano policial.

Únicamente profesionales titulados en Ingeniería Técnica e Ingeniería Informática pueden auditar este tipo de archivos y programas informáticos, ya que son los únicos en cuyos planes de estudio se imparten todas las materias relativas a la construcción de sistemas de software informático, concretamente, Programación, Bases de Datos, Teoría de la Computabilidad y Autómatas, Sistemas Operativos, Ingeniería del Software, Análisis de Sistemas, Arquitectura de Computadores, Sistemas Distribuidos, Inteligencia Artificial y Administración de Proyectos Informáticos, entre otras. Así pues, los Colegios de Ingenieros e Ingenieros Técnicos en Informática, deberían organizar, con la ayuda y el patrocinio del Gobierno, turnos de actuación profesional para que todos los profesionales habilitados que lo deseen, puedan participar en la auditoría de estos ficheros y troyanos que serán utilizados por la Policía.

 

VII. Conclusiones

Como conclusiones finales, obtenemos que la nueva Ley de Enjuiciamiento Criminal ha sido redactada sin el correcto asesoramiento técnico, que se abre un nuevo tiempo de inseguridad jurídica en el que los derechos fundamentales de los ciudadanos podrán ser suspendidos por la simple sospecha de la comisión de delitos considerados menores, que sigue sin establecerse un reglamento que garantice el mantenimiento de la cadena de custodia de dispositivos informáticos intervenidos y, finalmente, que la Policía Judicial podrá enviar a nuestros ordenadores, si considera que somos sospechosos de cometer delitos incluso menores, todo tipo de ficheros ilícitos y troyanos que podrán espiar nuestro ordenador y comunicaciones, que no serán auditados por los únicos profesionales que conocen en profundidad la Informática y las redes y que, teniendo en cuenta que, de entrada, no serán indexados y almacenados de forma segura, podrán aparecer en nuestros sistemas informáticos en intervenciones que realice la Policía Judicial en nuestros domicilios, como ficheros conseguidos de forma ilícita.

 

VIII. Referencias

Boletín Oficial del Estado – Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.

(1) El firmware es un tipo de programa informático muy cercano al hardware o electrónica del dispositivo, lo cual significa que lo controla directamente, estando la interacción con el usuario final muy limitada.

(2) El software es el soporte lógico de un sistema informático, compuesto por bloques de instrucciones escritas en un lenguaje de programación determinado, que componen el código fuente del programa, necesitando para su ejecución de una interacción importante con el usuario final.

(3) Anguas Balsera, Joaquím – La cadena de valor en la prueba con base informática

(4) Taruffo, Michele – La prueba, Ed. Marcial Pons 2008, página 85

(5) Un hash es un código alfanumérico obtenido mediante un procedimiento matemático, el cual es único para el fichero, disco o memoria del cual se calcula.

(6) STS 8316/2012.

(7) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/la-direccion-ip-en-el-peritaje-informatico/

(8) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/cadena-de-custodia-en-el-peritaje-informatico/

(9) STS 2156/2012.

(10) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/clonacion-de-discos-duros-en-el-peritaje-informatico/

(11) Un algoritmo de cifrado es un procedimiento matemático que transforma la información para que pueda ser enviada por un canal no seguro sin que se pueda conocer el contenido de la misma.

(12) STS 1599/1999.

(13) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/vulnerabilidad-en-whatsapp-falsificacion-de-mensajes-manipulando-la-base-de-datos/

(14) http://www.elmundo.es/tecnologia/2015/10/01/560d531a22601d40448b459b.html

(15) http://www.cope.es/player/ponedores-whatsapp-rastro-Javier-Rubio-121015&id=2015101205040001&activo=10

(16) http://www.rtve.es/alacarta/videos/telediario/telediario-21-horas-13-10-15/3322221/

(17) Una backdoor o puerta trasera, se define como un subprograma que actúa realizando ciertas funciones desconocidas por parte del usuario del mismo.

Vulnerabilidad en WhatsApp: falsificación de mensajes manipulando la base de datos

WhatsApp es la aplicación de mensajería instantánea más utilizada del mundo. Más de setecientos millones de usuarios en todo el planeta (la décima parte de toda la Humanidad), la utiliza para intercambiar mensajes de texto y de voz, ficheros de audio y de vídeo, etc. El hecho de que sea una aplicación universalmente utilizada, implica también que muchas personas, involucradas en procesos judiciales, presenten los mensajes de WhatsApp como prueba si quieren demostrar que una conversación, en unos términos concretos, ha tenido lugar entre determinados interlocutores.

Existe ya jurisprudencia en España en la admisión como prueba de mensajes de WhatsApp, como por ejemplo en la Sentencia de la Audiencia Provincial de Alicante Número 4/2014, de 9 de enero, en el ámbito civil, o la Sentencia de la Audiencia Provincial de Madrid Número 533/2014, de 24 de julio, en el ámbito penal. También han sido rechazados, como por ejemplo en la Sentencia de la Audiencia Provincial de Madrid Número 51/2013 de 23 de septiembre, por entenderse que, según transcripción textual de la sentencia, los “contenidos no han sido reconocidos por el acusado, ni se ha practicado sobre los mismos prueba pericial informática que acredite su autenticidad y su envío”, lo cual quiere decir que, si la otra parte no reconoce el envío de los mensajes, se deberá presentar un peritaje informático que avale la autenticidad de los mismos. Además, recientemente se ha fallado por el Tribunal Supremo en la STS 2047/2015 que, en general, para la admisión como prueba de cualquier conversación mantenida a través de una red social, es necesaria la presentación de un informe pericial informático por parte de un perito informático.

Que actualmente ya se estén admitiendo como pruebas los mensajes enviados y recibidos a través de WhatsApp, otorga una dimensión extraordinaria a esta aplicación, de tal forma que debe tenerse en cuenta la posibilidad de que los mensajes puedan ser manipulados, no sólo a la hora de realizar el envío del propio mensaje, como ya fue demostrado por dos ingenieros informáticos españoles, sino también una vez los mensajes han sido enviados o recibidos, es decir, directamente sobre la base de datos en la que se almacenan los mismos. Éste es el archivo sobre el que debe practicarse la prueba pericial informática cuando se presentan los mensajes de WhatsApp en un procedimiento judicial, por lo que es de vital importancia que dicho fichero permanezca íntegro o, al menos que, si se manipula maliciosamente, esta alteración pueda ser advertida tras un análisis forense por parte de un perito informático. Lo que se pretende demostrar en el presente artículo, es que dicho archivo de base de datos puede ser manipulado, alterando las conversaciones de tal forma que la manipulación podría perfectamente pasar inadvertida para un perito informático que realizase una investigación forense sobre el terminal móvil.

 

En primer lugar, se procederá a un intercambio de mensajes de WhatsApp (los que luego serán manipulados), entre dos terminales móviles cuya versión de WhatsApp instalada es la 2.12.250 en ambos. Estos terminales son un Samsung Galaxy S6 y un Wiko Goa, cuyo sistema operativo en ambos casos es Android, versión 5.1.1 y 4.4.2, respectivamente. Así pues, a continuación, se muestran los mensajes enviados y recibidos a modo de ejemplo entre ambos terminales.

Captura conjunta

Seguidamente, se ha de indicar que la base de datos interna de WhatsApp utiliza SQLite como Sistema Gestor de Base de Datos, por lo que se trata, por tanto, de un sistema relacional. Asimismo, una copia de esta base de datos, se encuentra fácilmente accesible conectando el terminal móvil al ordenador, estando ésta cifrada mediante criptografía simétrica utilizando el algoritmo AES, cuyo funcionamiento puede observarse en el siguiente diagrama.

Diagrama AES

Como se puede apreciar, la clave de cifrado y descifrado es la misma. Esto equivale a decir que la misma clave se utiliza para cifrar y para descifrar la base de datos, estando ésta almacenada y accesible en el directorio que utiliza WhatsApp. Sin embargo, la base de datos original, es decir, la que es utilizada por la aplicación para almacenar los mensajes inmediatamente después de ser enviados o recibidos, no está cifrada, sino que se encuentra almacenada en texto claro en uno de los directorios que la aplicación tiene en el sistema operativo. Esta base de datos no es accesible conectando directamente el terminal al ordenador, pero sí lo es una vez el terminal Android ha sido rooteado, es decir, configurado para ser accedido en modo súper-usuario, lo cual es algo muy sencillo de realizar incluso para usuarios no expertos.

 

Así pues, una vez el móvil ha sido rooteado (para este ejemplo, se usará el Wiko Goa), tener acceso a la base de datos original es una operación muy sencilla. Para ello, usando la utilidad ADB para Windows de las herramientas de desarrollo de Android, es necesario ejecutar los siguientes comandos al objeto de abrir una sesión con el terminal (primeramente es necesario haber instalado correctamente las herramientas de desarrollo de Android y los drivers del dispositivo móvil del cual se desea obtener su base de datos de WhatsApp, así como haber activado el “modo de depuración USB” en el citado terminal Android):

C:\android-sdk-windows\platform-tools>adb devices
C:\android-sdk-windows\platform-tools>adb shell

Una vez se han ejecutado estos dos comandos, la utilidad ADB abre una sesión con el terminal móvil, tal y como se observa en la siguiente imagen.

DOS-1

Es necesario indicar que, como servidor de ADB en el dispositivo móvil, es posible que sea necesario instalar y ejecutar una aplicación como ADB Insecure, más conocido como ADBD, al objeto de que se pueda transferir información entre el móvil y Windows y viceversa. Esto es así debido a que ciertas características de la utilidad ADB de serie no pueden ser utilizadas en versiones estables, es decir, finales, de Android, sino únicamente en versiones de desarrollo.

A continuación, es necesario acceder en modo súper-usuario al terminal, ya que la base de datos original de WhatsApp se encuentra en un directorio que sólo puede ser visualizado con privilegios de administrador. Para ello, es necesario ejecutar el comando “su”, tal y como se aprecia en la siguiente imagen.

DOS-2

Siendo ya súper-usuario, es necesario moverse al directorio en el que se encuentra la base de datos original de WhatsApp, ejecutando el siguiente comando:

# cd /data/data/com.whatsapp/databases

Al ejecutar un listado de los ficheros presentes en dicho directorio, mediante el comando “ls -la”, se aprecian los siguientes archivos:

DOS-3

Como se puede observar, el fichero que interesa es el remarcado en rojo. Ésta es la base de datos original de WhatsApp en la que se almacenan los mensajes inmediatamente después de ser enviados o recibidos. Una vez se ha visualizado el archivo que interesa, es necesario ejecutar el comando “exit” dos veces para volver a Windows, ya que será desde allí desde donde se tomará el archivo de base de datos de WhatsApp.

 

Ya en Windows, es necesario ejecutar el siguiente comando, al objeto de traer a Windows la base de datos (aunque es necesario, previamente, para disponer de todos los mensajes, incluyendo los enviados y recibidos en último lugar, haber realizado una copia de seguridad de los mensajes desde la propia aplicación WhatsApp, en el menú Ajustes -> Chats y llamadas -> Guardar chats):

C:\android-sdk-windows\platform-tools>adb pull /data/data/com.whatsapp/databases/msgstore.db

La ejecución exitosa del comando presenta la siguiente información en la consola:

DOS-4

La siguiente captura de pantalla del directorio de Windows en el que se encuentra la utilidad ADB, muestra que en dicha carpeta ha sido depositado el fichero “msgstore.db” (seleccionado en la imagen):

WIN-1

Para abrir el mencionado fichero de base de datos, será necesario un cliente de SQLite, habiendo sido seleccionado para este ejemplo el cliente de código abierto SQLiteStudio. Así pues, es necesario abrir el programa y, posteriormente, navegar hasta el menú Database -> Add a database, al objeto de añadir una nueva base de datos, por lo que se deberá buscar y seleccionar el archivo de base de datos que se desea alterar, en este caso “msgstore.db”, localizado en el directorio en el que se encuentra la utilidad ADB. Una vez añadida la base de datos, ésta aparece en SQLiteStudio como se aprecia en la siguiente imagen (remarcada en rojo).

WIN-2

Seguidamente, es necesario conectarse a la base de datos. Para ello, con la base de datos seleccionada, hay que navegar hasta el menú Database -> Connect to the database, de tal forma que el cliente se conecta inmediatamente a la base de datos. Desplegando la base de datos, se puede observar que ésta está conformada por once tablas, tal y como se observa en la siguiente imagen.

WIN-3

De todas estas tablas, las que interesan son las siguientes:

  • messages, que almacena los mensajes enviados y recibidos, así como varias propiedades de los mismos.
  • messages_fts_content, que almacena los mensajes enviados y recibidos sin ninguna propiedad, únicamente con la misma clave primaria que en la tabla messages.

 

Para modificar un mensaje enviado o recibido es tan sencillo como realizar los siguientes pasos:

  1. En primer lugar, es necesario conocer la clave primaria del mensaje que se desea modificar. Para ello, lo más óptimo es ejecutar una consulta de búsqueda por el patrón del mensaje en el propio cliente de SQLite. Así pues, para modificar el mensaje del ejemplo, se ejecutará la siguiente consulta, que proporcionará todos aquellos mensajes donde aparece la palabra “whatsapp”, de tal forma que pueda tomarse el identificador del mensaje que se desea modificar:
    select * from messages where data LIKE “%whatsapp%”;

    La ejecución de la consulta se aprecia en la siguiente imagen, en la que únicamente se han devuelto dos registros, debido a que la palabra “whatsapp” sólo aparece dos veces en todos los mensajes (se ha remarcado en rojo, asimismo, el botón del cliente de SQLite con el cual se puede acceder al editor de SQL).

    WIN-4

    Ampliando la imagen sobre los mensajes, remarcados en rojo, se ve claramente que se trata de los mensajes recibidos desde el Samsung Galaxy S6 en el Wiko Goa:

    WIN-5

  2. El mensaje que se va a modificar va a ser el que tiene como clave 7934. Por tanto, es necesario anotar dicha clave y, acto seguido, editar el campo data de la tabla messages, directamente desde el propio resultado devuelto por la consulta, escribiendo lo que interese, para inmediatamente después pulsar en el botón commit al objeto de persistir los cambios realizados. En la siguiente imagen se muestra el registro ya modificado y persistido tras haber pulsado el botón commit (el cual se halla remarcado en rojo).

    WIN-6

    La nueva frase, como se puede observar, es “WhatsApp es una aplicación segura. No hay nada que temer sobre ella.” Nótese que la anterior frase era “WhatsApp es una aplicación insegura.”

  3. Posteriormente, es necesario editar la tabla messages_fts_content, para lo cual hay que dirigirse al árbol de tablas, pinchar con el botón derecho en la misma y seleccionar la opción Edit the table. Una vez en el editor, es necesario aplicar un filtro (remarcado en rojo y usando la clave, 7934), al objeto de encontrar el registro deseado, tal y como se aprecia en la siguiente imagen.

    WIN-7

    Una vez se ha localizado al registro, es necesario proceder a cambiar el texto. A continuación, se muestra una imagen con el registro modificado y persistido, procurando mantener el estilo de la citada tabla (todo el texto en minúsculas, las palabras separadas por tres espacios y los signos de puntuación separados de la palabra anterior por un espacio):

    WIN-8

    En realidad, la modificación de esta tabla no sería estrictamente necesaria para que en la aplicación se viesen los mensajes alterados como si fuesen auténticos, pero sí es necesario si se quiere dificultar el trabajo del perito informático que vaya a analizar los mensajes y dictaminar si realmente fueron enviados y/o recibidos, es decir, si son auténticos.

 

Una vez realizados todos los pasos anteriores, es necesario seleccionar con el botón derecho del ratón la base de datos en SQLiteStudio y ejecutar la opción Disconnect from the database, para acto seguido salir del programa. Posteriormente, se debe copiar la base de datos alterada en el teléfono, sustituyendo la original. Para ello, es necesario ejecutar el siguiente comando en la consola de Windows (como se mencionó anteriormente, la aplicación ADB Insecure debe encontrarse en ejecución en el móvil):

C:\android-sdk-windows\platform-tools>adb push msgstore.db /data/data/com.whatsapp/databases/msgstore.db

La ejecución exitosa de este comando presenta la siguiente salida por pantalla:

DOS-5

Para dejar el menor rastro posible de la manipulación, es necesario modificar tanto el propietario como el grupo del fichero de base de datos, que al haberlo copiado como root, es decir, como súper-usuario, tendrá tanto este propietario como este grupo. Para apreciarlo, se debe navegar hasta el directorio en el que se encuentra la base de datos, ejecutando los siguientes comandos:

C:\android-sdk-windows\platform-tools>adb shell
# su
# cd /data/data/com.whatsapp/databases
# ls –la

Tras la ejecución de los comandos anteriores, la salida es la siguiente:

DOS-6

Como se puede apreciar dentro del rectángulo remarcado en rojo, el nuevo propietario del fichero “msgstore.db”, es el súper-usuario, así como también el nuevo grupo del fichero es el grupo del súper-usuario. Para revertir esta situación, es necesario ejecutar el siguiente comando:

# chown u0_a88:u0_a88 msgstore.db

Posteriormente, ejecutando el comando “ls –la”, se puede observar que tanto el propietario como el grupo ya han cambiado, tal y como se observa en la siguiente imagen:

DOS-7

Como se puede apreciar, el nuevo propietario y el nuevo grupo del fichero “msgstore.db” es u0_a88, que es el mismo que tienen todos los demás ficheros. Para abandonar el modo de depuración, es necesario ejecutar dos veces el comando “exit” y, posteriormente, ya desde Windows, es necesario ejecutar el comando “exit” para cerrar la consola.

 

Una vez realizado todo el proceso, debe reiniciarse el teléfono móvil y acceder, mediante la utilidad ADB, al directorio en el que se encuentra la base de datos, al objeto de comprobar que las fechas de último acceso de la misma se han actualizado y que no es posible determinar si la base de datos ha sido sustituida por una alterada. Para ello, es necesario ejecutar los siguientes comandos:

C:\android-sdk-windows\platform-tools>adb devices
C:\android-sdk-windows\platform-tools>adb shell
# su
# cd /data/data/com.whatsapp/databases
# ls -la

La ejecución de estos comandos ofrece el siguiente resultado:

DOS-8

Como se puede observar, la fecha de última modificación de la base de datos es muy similar al resto de fechas de los otros archivos utilzados por WhatsApp, por lo que sería muy difícil dictaminar que la base de datos ha sido manipulada. Para ello, serían necesarias técnicas de file carving, es decir, recuperación de ficheros borrados, las cuales son muy costosas debido a las herramientas hardware y software necesarias y, además, no garantizan el éxito porque las áreas del sistema de ficheros ocupadas por ficheros borrados, son sobrescritas por el sistema operativo en función de las necesidades de éste.

A continuación, se muestra el resultado del proceso visualizado en el WhatsApp del teléfono Wiko Goa, junto a la imagen original de los mensajes enviados por el Samsung Galaxy S6:

Captura conjunta final modificada

Como se puede observar, el último mensaje ha sido alterado, de tal forma que ha pasado de aparecer “WhatsApp es una aplicación insegura.”, a “WhatsApp es una aplicación segura. No hay nada que temer.” Seguidamente, se adjunta una captura de pantalla en la que aparecen tanto la versión original como la modificada, para apreciar las diferencias.

Capturas original y modificada

Como se puede apreciar, la manipulación es sencillamente indetectable a simple vista y, aún realizando un examen pericial informático, resultaría muy difícil de detectar si se han tomado todas las precauciones indicadas en este artículo. También es necesario indicar que muchas más precauciones pueden ser tomadas para evitar que un perito informático detecte una manipulación en el envío y la recepción de mensajes de WhatsApp, puesto que la tecnología y la informática evolucionan cada día.

 

Cabe añadir que, de la misma forma que se han manipulado los mensajes ya enviados y/o recibidos, también es posible y relativamente sencillo generar mensajes que no existían, aparentemente procedentes de cualquier teléfono del mundo, incluso de números inexistentes, haciéndose pasar por auténticos y siendo también muy difícil determinar si lo son o no. Para ello es necesario, además de manipular las tablas en las que se almacenan los mensajes, alterar también la tabla que almacena los contactos, es decir, la denominada chat_list.

 

Como conclusión, se extrae que WhatsApp es una aplicación muy poco segura y fácilmente manipulable, por lo que la aceptación de conversaciones mantenidas a través de la misma como prueba en un juicio, debe realizarse con cautela y, por supuesto, siempre con el aval de un perito informático colegiado. Por tanto, cuando un perito informático se enfrente a la realización de un peritaje informático sobre la autenticidad de determinadas conversaciones mantenidas a través de WhatsApp, deberá realizar un profundo análisis forense de todos los elementos a su alcance para dictaminar si las conversaciones son o no auténticas.